ComputerBase Menü
Aktuelles

WLAN im Hotel: wie sicherstellen, dass Traffic über VPN läuft?

T

Techflaws.org

Ensign
Registriert
Aug. 2009
Beiträge
253
Bin mit der Freundin in Italien und surfe mit ihrem XP-Notebook im offenen WLAN des Hotels ein paar meiner Seiten/E-Mail Account an, von denen leider nicht alle https verwenden. Somit gehe ich über ihr Uni-VPN, in das ich mich über einen Cisco-Client einwähle. Sobald ich das mache, ist schließt sich das Verschlüsselungssymbol im Tray. Wie kann ich nun feststellen, ob wirklich der gesamte Traffic darüber geht und ich mir keine Sorgen machen muss, dass irgendwer im WLAN Passwörter abschnorchelt (nicht, dass das ein lohnendes Ziel wäre)? IPconfig zeigt folgendes:

Code: 
Ethernetadapter Drahtlose Netzwerkverbindung:



        Verbindungsspezifisches DNS-Suffix: 

        Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless LAN 2100 3B Mini PCI Adapter

        Physikalische Adresse . . . . . . : 00-04-23-8F-CD-B1

        DHCP aktiviert. . . . . . . . . . : Ja

        Autokonfiguration aktiviert . . . : Ja

        IP-Adresse. . . . . . . . . . . . : 192.168.0.94

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0

        Standardgateway . . . . . . . . . : 

        DHCP-Server . . . . . . . . . . . : 192.168.0.1

        DNS-Server. . . . . . . . . . . . : 208.67.222.222

                                            208.67.220.220

        Lease erhalten. . . . . . . . . . : Mittwoch, 28. August 2013 07:07:19

        Lease läuft ab. . . . . . . . . . : Mittwoch, 28. August 2013 13:07:19



Ethernetadapter LAN-Verbindung 2:



        Verbindungsspezifisches DNS-Suffix: 

        Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter

        Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00

        DHCP aktiviert. . . . . . . . . . : Nein

        IP-Adresse. . . . . . . . . . . . : 132.252.242.5

        Subnetzmaske. . . . . . . . . . . : 255.255.255.128

        Standardgateway . . . . . . . . . : 132.252.242.5

        DNS-Server. . . . . . . . . . . . : 132.252.3.10

                                            132.252.1.7

        Primärer WINS-Server. . . . . . . : 134.91.9.52

        Sekundärer WINS-Server. . . . . . : 132.252.185.171
 
Mein Freund, du bist im Urlaub mit deiner Freundin und machst dir morgens um 07 Uhr Gedanken ob du über eine VPN surfst? Mein Güte wo sind wir nur gelandet...
 
Genieße mit deiner Freundin den Urlaub und habt Spaß.

Sicher kannst du dir nicht sein dass da nichts abgegriffen wird, ich gehe aber mal davon aus, dass es sich für keinen lohnt da irgendwelche Mail Passworter in einem Hotel auszuspähen. Da wäre wohl eher der Online Banking Zugang interessant.
 
das problem ist das wlan selber... ist es unverschlüsselt musst du dich zuerst beim hotspot anmelden und deine daten können abgegriffen werden. erst danach hast du mit vpn und entsprechender verschlüsselungstechnik sicherheit.

xp-notebook... naja... das ist bedingt sicher.

7 uhr am morgen in EU kann in USA spät am abend sein...
 
Zuletzt bearbeitet:
@chrigu - wußte gar nicht, dass Italien in den USA liegt und eine andere Zeitzone hat .... ;)
 
chrigu schrieb:
das problem ist das wlan selber... ist es unverschlüsselt musst du dich zuerst beim hotspot anmelden und deine daten können abgegriffen werden. erst danach hast du mit vpn und entsprechender verschlüsselungstechnik sicherheit.
Zum Vergrößern anklicken....

Nein.
Sobald die VPN-Verbindung verschlüsselt wird, sind die Daten auch dann sicher, wenn sie zunächst durch ein offenes WLAN laufen, da die einzelnen Pakete in verschlüsselte VPN-Pakete "eingepackt" werden.
Siehe http://de.wikipedia.org/wiki/Virtual_Private_Network#Verschl.C3.BCsselung
 
schon klar.. aber zuerst musst du dich am hotspot anmelden, das geht nicht per vpn..
 
Mach auf der Kommandozeile mal bitte ein: route print
Bei 0.0.0.0 sollte dann als Gateway und Schnittstelle eine IP des Cisco VPN sein

@chrigu
Und dann kann man die Logindaten des Hotel HotSpots abgreifen... mehr nicht
 
Es kommt drauf an wie der VPN Tunnel konfiguriert ist, bei Cisco gibt es ein verfahren das sich Split Tunneling nennt, hier ein auszug:

Im Normalfall ist Split-Tunneling aktiviert. Split-Tunneling bedeutet, dass nur Daten, die an ein Ziel im LAN gesendet werden sollen, über die VPN-Verbindung (durch den Tunnel) transferiert werden. Alle anderen Daten gehen über die zugrunde liegende Internetverbindung. Dies vermeidet unnötige Umwege und reduziert dadurch die Transferzeiten.
Zum Vergrößern anklicken....

Ich hoffe ich konnte helfen

Dark
 
TheTux schrieb:
@chrigu
Und dann kann man die Logindaten des Hotel HotSpots abgreifen... mehr nicht
Zum Vergrößern anklicken....
eben.... man kann... und je nach dem wie das händy/laptop konfiguriert ist, wird sogleich per wlan email, facebook status usw... abgefragt, und erst wenn der vpn aktiv ist, gehts über den tunnel... oder bei pptp sogar "unverschlüsselt", je nachdem wer hinter dem hotspot sitzt.

somit stimmen seine befürchtungen.

http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html
 
Zuletzt bearbeitet:
je nach VPN Client Konfiguration bzw Routen Konfiguration geht nur der Traffic für die Uni via VPN, der Rest geht via "lokalem" Internet und daher unverschlüsselt (ist z.B. für Homeoffice sinnvoll weil man dann sein privaten Traffic nicht noch zusätzlich über das Uni/Firmen-Netzwerk abfackelt und da ggf von den WAN Restriktionen der IT Admins betroffen wäre wie etwa kein Facebook, etc).

Könnte man per erwähnten Route Print ermitteln oder allenfalls tuts auch ein Traceroute auf eine IP wie Google oder Computerbase um zu sehen wo der durchgeht.
 
Zuletzt bearbeitet:
Wie schon gesagt: Du solltest auf jeden Fall sicherstellen, dass das Notebook keine sensiblen Daten sendet bevor der Tunnel steht. Ansonsten kann es durchaus sein, dass jemand diese Daten abgreift.

Steht der Tunnel, kannst du mal einen Traceroute auf 8.8.8.8 machen. Da sollte als erster oder zweiter Eintrag eine 132.252.x.x Adresse auftauchen.
 
Ich befürchte, dass die VPN-Verbindung ist nur zwischen Client und Uni-Server aktiv ist. Sämtlicher anderer Traffic läuft dann außerhalb der gesicherten Verbindung. Bringt also genau null.
 
@crigu
Wenn die Uni noch PPTP einsetzt sollte er sich dort dringend exmatrikulieren :freak:
Spaß beiseite, wer betreibt einen solchen Aufwand bei "normalen" Hotelgästen...
 
Full-tunnel verwenden wenn ein solches VPN-Profil angeboten wird, Punkt. Ob diese Art der Nutzung eventuell verboten wurde ist in den Nutzungsbedingungen durchzulesen.

Du solltest auf jeden Fall sicherstellen, dass das Notebook keine sensiblen Daten sendet bevor der Tunnel steht.
Zum Vergrößern anklicken....
Pre-Logon soll unter Windows 7 mit Anyconnect gehen (habe es selbst nur bis XP mit PLAP vom IPsec-Client verwendet): https://supportforums.cisco.com/thread/345416

Ansonsten halt einfach nen anderen VPN-Zugang beschaffen, dürfte ja nicht so schwer sein :D
 
Zuletzt bearbeitet:
TheTux schrieb:
@crigu
Wenn die Uni noch PPTP einsetzt sollte er sich dort dringend exmatrikulieren :freak:
Spaß beiseite, wer betreibt einen solchen Aufwand bei "normalen" Hotelgästen...
Zum Vergrößern anklicken....
schon klar... aber bei einem xp-rechner... weiss man ja nie...

jemand, der email-adressen verkauft für urlaubs-werbung oder für andere nicht seriösen dinge? im urlaub stellt manch einer gerne sein gehirn in den koffer unters bett.

aber es gibt ja beim vpn-verbinder die option "sämtlichen traffic über vpn..."
 
chrigu schrieb:
eben.... man kann... und je nach dem wie das händy/laptop konfiguriert ist, wird sogleich per wlan email, facebook status usw... abgefragt, und erst wenn der vpn aktiv ist, gehts über den tunnel...
Zum Vergrößern anklicken....

Ich denke, man kann davon ausgehen, dass jemand, der einen solchen VPN Aufwand im Urlaub betreibt, sich schon darüber im Klaren ist, dass man Emails, Facebook etc erst NACH Aufbau des Tunnels checkt und entsprechend handelt.

Und auch das initiale Aufbauen des VPNs im offenen WLAN ist bei entsprechendem verschlüsselten Verbindungsaufbau sicher.

Man muss eben nur sicher gehen, dass wirklich sämtlicher Traffic durchs VPN geht. Das Vorgehen wurde bereits beschriebnen.


@savuti: Falsch! Siehe mein Beitrag von 8:09h.
 
Ich kann mit 100% Sicherheit sagen, dass sehr viele Unis, vllt. nicht alle, nur den Traffic mit ihren Server mit ihrer VPN-Verbindung per Profil tunneln. Darauf wird auch in den jeweiligen Nutzungsbedingungen hingewiesen.
 
TheTux schrieb:
Spaß beiseite, wer betreibt einen solchen Aufwand bei "normalen" Hotelgästen...
Zum Vergrößern anklicken....

Jemand der grad nix besseres zu tun hat? Entsprechend vorbereitet dauerts keine 10 Minuten bis die ersten POP3 Passwörter reinfliegen. Da kann man sich die Langeweile auch mit fremden Postfächern vertreiben ;-)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Kein Zugriff auf Fritz-NAS während PC über VPN läuft
Antworten
7
Aufrufe
5.690
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz