Mehr als 180 IP-Adressen über Fritzbox Gast-Netzwerk?

[192.168.0.1]

Wie hast Du das eigentlich gemerkt, gesehen bzw. überprüft? Oder hattest Du das hier aus dem Thread aufgegriffen?

Habe einfach mit LAN-Scan geschaut 🙃

Zu euren Anmerkungen hinsichtlich Professionalität etc. – das ist mir absolut klar.
Ich werde noch einmal nach Client-Isolation schauen und die Verbindung zu den anderen APs von jedem AP blockieren.

 

[norKoeri]

Habe einfach mit LAN-Scan geschaut

Welchen, wie genau?
Auf jeden Fall der richtige Ansatz: Nicht auf irgendwelche Dokus verlassen, sondern mögliche Angriffe selbst praktisch testen. Das wäre es auch mal … ein HowTo … „Was machen Hotels so alles falsch? Die zehn+x Tests, die man (als Wirt) machen sollte“. Nämlich allein auf das Systemhaus verlassen, ist auch keine so tolle Idee. Schade, dass die DEHOGA sowas bei der Sterne-Vergabe nicht mit testet. Wäre mir jedenfalls neu.

 

[bender_]

Ich werde noch einmal nach Client-Isolation

Gibts bei deinen TP-Link nicht. Heißt "AP Isolation":

Nämlich allein auf das Systemhaus verlassen, ist auch keine so tolle Idee.

Doch ist es, denn die übernehmen nicht nur die Lösung der Aufgabe sondern auch die Verantwortung.
Die Generation Youtube glaubt nämlich mit so einem Bullshit allen Problemen dieser Welt begegnen zu können:

… ein HowTo … „Was machen Hotels so alles falsch? Die zehn+x Tests, die man (als Wirt) machen sollte“

Dieses HowTo ist ganz einfach: Bezahle jemanden, der das professionell gelernt und/oder studiert hat und damit auch die nachgewiesene Qualifikation für das Lösen der Aufgabe und das Tragen der Verantwortung erlangt hat!

 

[192.168.0.1]

Welchen, wie genau?
Auf jeden Fall der richtige Ansatz: Nicht auf irgendwelche Dokus verlassen, sondern mögliche Angriffe selbst praktisch testen. Das wäre es auch mal … ein HowTo … „Was machen Hotels so alles falsch? Die zehn+x Tests, die man (als Wirt) machen sollte“. Nämlich allein auf das Systemhaus verlassen, ist auch keine so tolle Idee. Schade, dass die DEHOGA sowas bei der Sterne-Vergabe nicht mit testet. Wäre mir jedenfalls neu.

Ja, das wäre echt cool, wenn Hotels darauf hin auch getestet würden. So muss man als Gast im Grunde immer über VPN ins Netz gehen, damit man sich nicht auf die Infrastruktur verlassen muss.. 🙃

LanScan im Mac App Storehttps://apps.apple.com › app › lanscan

@bender_
Offenbar gibt es das doch nicht: https://emulator.tp-link.com/1201-ap/index.html

 

[bender_]

Ja, das wäre echt cool, wenn Hotels darauf hin auch getestet würden.

...müssen sie sich schon selbst darum kümmern, wenn sie DSGVO fest sein möchten. Diesen Test kannst Du bei externen Dienstleistern beauftragen und sichert dir Konformität - wie zum Beispiel der professionelle E-Check deiner E-Installation durch den E-Meisterbetreib deines Vertrauens.
Und sowas fließt selbstverständlich nicht in eine Sternebewertung ein, denn Du und jeder andere der so ein Gewerbe - egal welcher Qualitätsstufe - anbietet, ist per Gesetz verpflichtet als Anbieter so einer Leistung den Nutzern Konformität zuzusichern. Das ist keine "KANN" Option - sondern ein "MUSS"!

Ergänzung (12. Mai 2022)

Offenbar gibt es das doch nicht: https://emulator.tp-link.com/1201-ap/index.html

Etwaige Einschränkungen der Funktion hatte ich verlinkt. Ich würde der Demo-Oberfläche nicht vertrauen. Schau lieber direkt in einen von deinen APs.

 

[192.168.0.1]

...müssen sie sich schon selbst darum kümmern, wenn sie DSGVO fest sein möchten. Diesen Test kannst Du bei externen Dienstleistern beauftragen und sichert dir Konformität - wie zum Beispiel der professionelle E-Check deiner E-Installation durch den E-Meisterbetreib deines Vertrauens.

Da muss ich leider widersprechen, dann bräuchten wir auf keinen Tüv etc.
Vertrauen ist gut, Kontrolle ist (oftmals) besser – hier wäre ganz klar eine unabhängige Prüfstelle für öffentliche WLAN-Netzwerke cool!

 

[bender_]

Da muss ich leider widersprechen, dann bräuchten wir auf keinen Tüv etc.

...Du ziehst die falschen Schlüsse. Der TÜV sichert Menschenleben, dein unsicheres WLAN ist nicht unmittelbar lebensgefährlich.

 

[M-X]

Wer im Hotel ohne VPN online geht hat die Kontrolle über sein Gerät verloren. Man sollte sich nie auf die Infrastruktur des Anbieters verlassen.

Aber auch ich stimme zu, wenn ein Systemhaus das macht ist es auch ihre Verantwortung. Wenn man das testen will gibt es entsprechende Firmen die Pentests anbieten. Nur die Kosten will meistens keiner Tragen.

 

[Raijin]

So muss man als Gast im Grunde immer über VPN ins Netz gehen, damit man sich nicht auf die Infrastruktur verlassen muss.. 🙃

Das eine hat mit dem anderen nichts zu tun. In einem öffentlichen Netzwerk wie einem Hotel kommt es auf alle Teilnehmer an, inkl. den Betreiber selbst.

Client isolation hilft mächtig wenig dagegen, dass der Hotelbetreiber in seinem Router zumindest theoretisch die Möglichkeit hätte, sämtlichen Traffic seiner Gäste mitzuloggen und ggfs sogar auszulesen. Bei verschlüsselten Verbindungen - sei es VPN, https, o.ä.. - ist das halb so wild, weil dafür beträchtliches KnowHow und auch das Equipment dazu benötigt wird, aber bei unverschlüsselten Verbindungen wäre es ein Leichtes.

Ein VPN würde man also nach wie vor benötigen bzw. es wäre ratsam. Natürlich kann man jetzt argumentieren, dass spätestens der VPN-Server dasselbe tun kann wie der Hotelbetreiber in seinem Router. Der Unterschied liegt aber darin, dass der Hotelier sehr eindeutig personenbezogene Daten sammeln und sehr gezielt vorgehen könnte. Angriffe auf unverschlüsselte Verbindungen im großen WWW sind dagegen maximal beliebig, wie mit der Schrotflinte. Gegen solche Angriffe schützen weder ein sicheres Netzwerk noch ein VPN, weil die Verbindung zwangsläufig irgendwann frei durch's www wandert. Dagegen hilft nur, generell nur Anwendungen mit verschlüsselten Verbindungen zu verwenden - SFTP/FTPS statt nacktem FTP, um nur ein Beispiel zu nennen.

 

[norKoeri]

LanScan im Mac App Store

Ahh. UNIX. Solche Tools machen normal nur die Oberfläche und basieren im Kern auf Tools wie Nmap. Genau so Tools würde ein Gelegenheitshacker auch nehmen. Und ja, wer mit Systemhäusern zu tun hat, merkt leider zu oft, dass die nicht mal abschließend einen Netz- geschweige denn einen Port-Scan machen. Geschweige periodisch zur Wartung diesen wieder tun. Und manchmal sogar nicht mal wissen, wie der zu lesen ist. Mahlzeit.

Was kann ich mir dann für diese „Verantwortung“ kaufen … bis meine Versicherung bei deren Versicherung durchgriffen hat – wenn die überhaupt existiert bzw. vertraglich richtig verankert war –, ist der Laden bereits umbenannt und die Einlagen aufgebraucht. Das sind so Sachen, die die DEHOGA ganz einfach mitlaufen lassen könnte – und dann eben gar keinen Stern vergeben. Wäre wie bei Sauberkeit: Durchgefallen. Wobei WLAN glaube ich erst ab Stern x kommt. Da bin ich nicht aktuell.

Und den Hotel-Betreibern wäre wirklich mit einem How-To geholfen, wenn die daran sehen würden … mein Netz absolviert ja nicht mal den ersten Check. Vieles darf ich ohne Einwilligung auch gar nicht testen, weil dann schnell die Computer-Sabotage um die Ecke käme. Als Hotel-Gast hier Aufklärungsarbeit zu leisten … ist je nach Fehler-Kultur des Wirts nicht so einfach. Erfahrung. Hust.

Wäre man ganz bitter drauf, hätte die Foren-Moderation diesen Thread gar nicht laufen gelassen und gleich von Anfang geschlossen: So überzeugend wir auch daher babbeln, kann alles Murks sein.

Ich werde noch einmal nach Client-Isolation schauen und die Verbindung zu den anderen APs von jedem AP blockieren.

Wenn Du bisher keine Client-Isolation hast, könntest Du noch ganz andere Probleme haben: Rouge-DHCP-Server. Ich als Gast kann nämlich versehentlich einen Travel-Router anschließen, der einen DHCP-Server auch in das Hotel-WLAN aufspannt. Und dann ziehe ich als Gast (nicht im ganzen Hotel sondern nur in einem Teil) des Hotels die DHCP-Anfragen auf mich. Noch schlimmer wird das mit IPv6-RAs, weil die auch noch fragmentiert sein können. Und dann hilft mir auch ein VPN narda, null und nix, weil ich dieses WLAN-Netz nicht mal nutzen könnte.

Jetzt aber mal Butter bei die Fische: Wieviele WA1201 hast Du bzw. wieviele Betten hat Euer Haus?

Wenn man das testen will gibt es entsprechende Firmen die Pentests anbieten.

Kennst Du eines? Ich bisher nicht. ERNW in Heidelberg wäre eines der wenigen Häuser in Deutschland, denen ich das technische Wissen zutrauen würde. Aber schon bei SySS in Tübingen frage ich mich, ob die das für ein Hotel leisten könnten.

Finde mal jemanden in Deutschland, der das alles weiß und auch seine Dienste anbietet. Daher mein Tipp auch mal den Landesverband anzuhauen. Oftmals hat eine kleinere, sonst unbekannte Firma sich dort schon gemeldet und bietet so seine Dienste an. Denn wer studiert schon „Hotel hacken“ oder gar „Live Hacking“. Das machen erst seit knapp einem Jahrzehnt eine Handvoll an Fach-Hochschulen.

 

[Raijin]

So überzeugend wir auch daher babbeln, kann alles Murks sein.

Das ist leider etwas, was viel zu häufig übersehen wird. Niemand weiß welcher berufliche Hintergrund sich hinter einem schicken Benutzerbildchen verbirgt. Hinzu kommt, dass Threads dieser Art nicht selten im vollkommen falschen Unterforum gepostet werden. Ein Hotel hat nämlich nichts mit "Heimnetzwerke und Internethardware" zu tun. Aber selbst in den Foren für professionelle Netzwerke, ist mitnichten sichergestellt, dass dort nur echte Fachleute posten. Heißt: Auch da tummeln sich absolute Laien oder - noch schlimmer - Laien mit gefährlichem Halbwissen. Überprüfen kann man das als nicht, wenn man nicht das nötige technische KnowHow hat, die einen von den anderen zu trennen. Denn auch Laien können hochtrabend und intelligent formulieren, auch wenn es am Ende technisch gesehen absoluter BS ist - das kann der Fragende ja nicht beurteilen, sonst müsste er nicht fragen....

Es ist daher egal wie intellent (Vorsicht: das war Absicht ) wir klingen. @bender_ könnte Hörgeräteakustiker sein, @norKoeri Maler und meine Wenigkeit "Reinigungsfachkraft für Nasszellenbereiche" - who knows? Wir könnten aber auch alle IT-Admins, Softwareentwickler oder dergleichen sein, wobei letztere ebenfalls nicht zwingend Ahnung von Netzwerken haben müssen. Bei Fragen rund um das eigene Heimnetzwerk ist das weit weniger kritisch, aber wenn es um Firmennetzwerke geht, in denen womöglich sogar hohe Anforderungen an den Datenschutz vorhanden sind, hört der Spaß mit "ich google mal" auf.
Ganz ehrlich, es gab hier schon Threads zu Arztpraxen! Da lief es mir eiskalt den Rücken runter...

 

[WhiteHelix]

Aber schon bei SySS in Tübingen frage ich mich, ob die das für ein Hotel leisten könnten.

Definitiv, wir hatten die vor kurzem bei uns im Haus (produzierende Industrie). Was die an Know How mitbringen ist alles andere als zu verachten.

 

[M-X]

Kennst Du eines?

Genug, ich bin aber im Enterprise Feld tätig kenne mich also mit so 1 Mann Einzelkämpfern nicht aus. Bei uns sind Penetration Tests aber Standard bei jedem neuen Service oder Applikation. Das geht von der einfachen Webapp bis zu komplexen Netzwerken.

Die Anbieter gibt es, man muss es halt auch bezahlen wollen und da scheitert es dann oft. Denn gerade IT Security Experten sind extrem rar und deshalb auch teuer.

 

[norKoeri]

Was die an Know How mitbringen ist alles andere als zu verachten.

Meine Frage war eher, ob die auch Einen haben, der schnell mal einen Managed-Switch penetrieren kann. Bzw. einer dabei ist, der den Managed-Switch im Netz findet. Wenn Du drei oder vier Jungs mitschleifst, ist immer mal einer dabei, der dies und einer dabei der jenes kann. One-Man-Shows, die einfach mal so ein Hotel-WLAN penetrieren, wäre hier gefragt … Wird ein Rudel geschickt, hast Du das Problem, dass das niemand mehr bezahlen kann. Das kann sich dann Accor, Choice Hotels, Hilton, Wyndham oder wie die Großen alle heißen vielleicht alle zwei Jahre mal leisten. [Wobei ich mich gerne freuen würde, wenn die doch schon schon eigene Red-Teams hätten.] Aber nicht das Eigentümer-geführte Hotel um die Ecke.

Das meinte ich. Ob die Dir Einen schicken können. Der wäre noch bezahlbar. Und wie der abrechnet. Wenn der merkt, Client-Isolation fehlt, dann ist der fertig. Dann braucht der gar nicht weiter machen. Nur, wenn der nach Stunden abrechnet, sitzt er blöd da. Er ist ja nach 10 Minuten fertig.

Das meinte ich mit „leisten“. Haben jene Dienstleister Fachleute, die auf Hotel-WLAN-penetrieren spezialisiert sind. Kann der Fachmann stundenweise (plus Anfahrt) bezahlt werden, weil der sofort wieder umdisponiert werden kann. „Können“ ist nämlich die eine Baustelle. Die Tools am Mann haben und beherschen die andere Baustelle. Die wirkliche Baustelle: Darum wissen, was in Hotels so alles falsch gemacht wird. Was nützt mir ein Pen-Tester, der Android-Apps auseinandernehmen kann, aber noch nie einen lokalen DNS-Forwarder vergiftet hat.

Und genau so was könnte die DEHOGA im ersten Schritt leisten. Auf dem Notebook ist eine App. WLAN einbuchen, genau wie der Gast es tut. Die App probiert alles automatisch durch. Rot, gelb, grün. Der Hotel-Tester weiß, hier muss nachgetestet werden.

hört der Spaß mit "ich google mal" auf

Gibt immer wieder leidenschaftliche Bastler. So, jetzt schwing ich wieder meinen Besen.

 

[Raijin]

Basteln ist ja ok, zu Hause. Ich bin eigentlich ein gutes Beispiel. Ich glaube ich kann behaupten, dass ich von Netzwerken schon relativ viel Ahnung habe, auch einiges an Detailwissen. Dennoch bin ich "nur" ambitionierter Software-Entwickler mit einem Informatik-Studium. Ich bin kein IT-Admin und würde mir den Schuh auch nie anziehen. Dazu weiß ich zu genau an welchen Ecken mir KnowHow fehlt. So habe ich zB 0 Plan von Windows Server, AD, Policies und dergleichen.
Dennoch begegne ich in meinem Job genug IT-Admins, die nicht mal IP und Subnetzmaske auseinanderhalten können......