Ist ein Hotspot mit Anmeldeprozedur sicher?
 

Liebe Experten,

ein Angehöriger liegt in einer Reha-Klinik, hat extra ein Zimmer mit WLAN erbeten, zahlt sogar Gebühren dafür. Er hat eine Benutzernamen und ein Passwort erhalten, das WLAN-Netz ist aber ein ungeschütztes (laut Virenscanner G-Data, kein WPA2-PSK). Erst wennn man eine Internetseite aufruft, werden Benutzername und Passwort abgefragt. Meine Frage: Ist die Nutzung damit sicher, z. B. bei Online-Bestellungen, bei denen man ja auch Passwörter anwendet? Oder muss man damit rechnen, dass jemand oder alle anderen WLAN-Nutzer, die auf die gleiche Weise mit Ihren Kontaktdaten das Hotspot-Netz nutzen, diese Daten mitlesen könnten? Mir erscheint das trotz dieser Anmeldeprozedur nicht einwandfrei, ich kann mit meinem Smartphone WLAN anschalten und finde das Netz ohne Weiteres, kann aber über eine App z. B. keine Verbindung zum Internet aufbauen.

Vielen Dank für Eure Beratung.

Ist nicht sicher. Nutzung bei "vertraulichen" Daten nur über verschlüsselten Proxy. Alle anderen WLAN Nutzer können mit minimalem Aufwand alle unverschlüsselten Verbindungen mitlesen.

=> Ihr müsstet ein VPN einrichten über das er verschlüsselt zu einem vertrauenswürdigen Server Kontakt aufbaut- oder einfach Bestellungen, Passwörter etc. unterlassen wenn die Verbindung nicht verschlüsselt stattfindet.

Edit: wenn du mit deinem Handy erst per Browser eine Internetseite aufrufst müsste die Anmeldeseite der Klinik erscheinen. Wenn du dort die richtigen Anmeldedaten eingibst müsste dein Handy auch freigeschaltet sein.

Diese Prozedur dient nur dazu den Anbieter vor Abmahnungen abzusichern- hat mit IT Sicherheit in dem Sinne nichts zu tun.

Welche Server gelten denn als vertrauenswürdig im Sinne Deiner Äußerung? Kann ich mit jedem Laptop ein VPN einrichten? Sorry über diese vielleicht laienhafte Frage:confused:, muss mich aber natürlich normalerweise nicht damit beschäftigen. Würde die Hotspotshield-App reichen bzw. ein VPN, was den Server von Hotspotshield nutzt?

Habe die Anmeldung mit dem Smartphone nur beschrieben, um genauer darzulegen, wie die Anmeldeprozedur aufgebaut ist. Ich brauche den Zugang dort nicht, habe im Smartphone ja überall Netz über 3G. Zudem lässt die Benutzername-Passwort-Kombi offenbar gleichzeitig immer nur ein Gerät zu. Auch dazu scheint es zu dienen. Mir ging es aber um die Sicherheit.

Wie naiv von mir- du hattest ja erwähnt dass es sich um einen Bezahlzugang handelt.

Die Frage nach dem VPN ist leider keine Laienfrage- in Bezug auf Verschlüsselung ist das Internet leider noch nicht so weit dass ein Laie das ganz einfach ohne Vorkenntnisse aufbauen kann.

Wenn dein Verwandter (oder du) eine halbwegs aktuelle Fritz Box hat wäre es denkbar über Myfritz (https://www.myfritz.net/login.xhtml), einem DYNDNS Dienst ( http://de.wikipedia.org/wiki/Dynamisches_DNS ) und dem VPN Dienst der eigenen Fritz Box (http://avm.de/service/vpn/uebersicht/) könnte er kostenlos einen verschlüsselten "Tunnel" zu seiner Fritz Box aufbauen und von dort aus ganz normal ins Internet gehen- wie wenn er zuhause wäre.

Nachteil: du musst dich etwas einarbeiten.
Vorteil: kostenlos.


Falls das zu komplex ist würde ich den JonDo Dienst empfehlen, der ist zwar eigentlich zur Anonymisierung gedacht, aber zur Anonymisierung muss er verschlüsseln. Ist zwar ein wenig mit Kanonen auf Spatzen geschossen, aber es tut. Ich würde den Bezahldienst verwenden (z.B. per Paysafecard ein 10 Euro Volumen kaufen) da die kostenlose Variante a... langsam ist. Dann könnte dein Verwandter alles "Normale Surfen" unverschlüsselt und direkt durchführen und Dinge bei denen er Passwörter eingibt über JonDo durchführen. Die Server sind (nach allem was ich sagen kann) vertrauenswürdig.

https://www.anonym-surfen.de/jondo.html

Es gibt da eine einfache deutschsprachige Anleitung zur Installation, die Bedienung finde ich auch ziemlich einfach.


Vielleicht hilft dir eine dieser Lösungen (oder ein anderer Forenteilnehmer findet eine noch einfachere).

Da ich zu Hause eine Fritz Box cable habe, werde ich mal versuchen, mich einzulesen und das hinzukriegen. Wenn ich darf, würde ich bei Problemen nochmals auf Dich zukommen. :dankeschoen:

Da muss ich jetzt zugeben dass ich das unter Windows noch gar nicht probiert habe ;) Bei mir lief es von Android aus mit meiner DSL-Fritz Box aber wie am Schnürchen, daher hoffe ich dass es bei dir ähnlich abläuft.

Allerdings sollte deine Fritz Box nicht vom Provider kastriert sein- aber das siehst du im Menü gleich- falls da die VPN Einträge fehlen sollten geht es mit der FB nicht...

Und falls es Probleme geben sollte findet sich bestimmt eine Lösung falls du das Problem hier schilderst. (Die meisten hier sind in Windows fitter als ich da ich seit Jahren hauptsächlich Linux nutze..)

Vielen Dank,

ich habe das inzwischen mit unter Windows eingerichtet, weil ich dort grad angemeldet war. Linux hätte ich bei meinem double boot-System aber auch gekonnt. Die Fritz!Box ist nicht kastriert, VPN konnte ich dort einrichten. Ich habe dann von meinem iPhone aus probiert, über MyFritz auf die Box zuzugreifen, das geht auch. Unetr den Einstellungen im iPhone habe ich dann ein neues VPN eingerichtet mit den von der FB vorgegebenen Einstellwerten und siehe da, das VPN-Symbol geht an. Das heißt hoffentlich, das alles funktionieren würde, anders kann ich das ja nicht prüfen. Ich habe dazu nur gar keinen DYNDNS-Dienst gebraucht. Kann es sein, dass der Cisco-Anmelde-Bildschirm des iPhones diese AUfgabe übernimmt? Brauche ich dann DYNDNS für den Laptop meines Angehörigen?

Vielen Dank.

Myfritz ist ein DynDNS Service. Daher klappt das.

In dem Falle müsste es gehen- nur zwei Dinge können (theoretisch) noch schief gehen:

- der WLAN Anbieter blockt VPN (extrem unwahrscheinlich- warum sollte er...)
- der WLAN Anbieter verwendet ein WLAN Modem (Fritz Box) das die gleiche lokale Adresse wie dein Kabelmodem hat. Dann änderst du den lokalen Adressraum deines Netzes zuhause und gut ist.

=> Da das klappt hast du den besseren Weg gewählt, soweit ich mich erinnere war der VPN Weg über die FB immer deutlich schneller als der über den Anonymisierer. Dein Verwandter kann also grundsätzlich immer und alles über die Fritz Box ansurfen und muss sich keine Gedanken drüber machen ob ein Möchtegern Hacker in der Reha mitliest.

=> Jetzt kannst du auf seinem Rechner noch Linphone und einen Voip Dienst (Sipgate o.ä.) einrichten, dann steht auch einer billigen Telefonverbindung nichts mehr im Wege ;)

Ich habe gerade entdeckt, dass unter den Einstellungen in der FB Dyndns gar nicht eingeschaltet ist, ich weiß auch nicht, was ich dort als Damainnamen eingeben sollte etc. Trotzdem hat das mit dem iPhone ja schon funktioniert.

Wie ich oben schrieb: MyFritz ist ein DynDNS Dienst, d.h. wenn MyFritz eingerichtet ist brauchst du keinen Weiteren.

Ich habe das schon richtig verstanden. Dennoch sieht man im Screenshot, dass innerhalb der fritz!box dynamisches DNS aktiviert werden kann. Muss ich das oder nicht? Als ich heute von meinem Arbeitsplatz mit dem iPhone versucht habe, über VPN auf die Fritz!Box zuzugreifen, hat das leider nicht funktioniert. Message: Sie haben keinen Internetzugriff.

Nein musst du nicht. Die Fritzbox erlaubt auch die Nutzung anderer DynDNS Dienste, MyFritz ist nur einer davon. Ein Dienst reicht aber, d.h. von der Arbeit aus hättest du auch so nicht zugreifen können (ich vermute mal eine Firewall).

Über dein Mobiles Datennetz sollte es aber funktionieren.

Über das mobile Daten Netz 3G klappt es aber leider auch nicht. Beim Öffnen von Safari erhalte ich die Meldung: "Safari kann die Seite nicht öffnen, da sie nicht mit dem Internet verbunden sind."

Habe ich da doch etwas vergessen einzustellen?

Guck dir doch die Fehlermeldung an: dein Iphone denkt es sei nicht mit dem internet verbunden.

Tests: andere Website aufrufen,
Zugang zu deiner FB mal über ein anderes Gerät probieren.

Dann: versuche die FB mal erst nur mit dem Browser ohne VPN zu erreichen.

Ich glaube die Gefahren in dem Klinik-WLAN werden etwas überbewertet. Es ist unwahrscheinlich, dass irgendjemand im WLAN mitliest. Und es hilft auf wirklich sensible Daten nur per SSL zuzugreifen, wobei auch das nicht vollkommen sicher ist. Auch kann man z.B. für wichtige Dinge Mobilfunk nutzen und das WLAN nur für reines Surfen verwenden.
Sollte es auch kabelgebundenes Internet geben (Ethernet) könnte man sich einen Mini-WLAN-Router zulegen (ca. 30 Euro) und sein eigenes WLAN aufbauen. Suche z.B. im Internet nach TP-Link-Nano-Router bzw. nach HooToo Tripmate (jeweils mehrere Modelle, teilweise mit Akku). Natürlich bestehen immer noch gewisse Gefahren im Klinik-Netzwerk. Müsste man mal analysieren.

#14
Die Fritzbox kann ich ohne VPN über myFritz ohne Weiteres vom iPhone erreichen. Da wird auf Safari gewechselt, und ich komme auf die Web-Oberfläche der Fritz!Box, kann z. B. die Freigaben und auch die letzten über die Fritz!Box geführten Telefonate einsehen.

#15
Ein LAN gibt es dort nicht. Dann könnte ich mir mit dem Laptop ja selbst mein ordentlich (WPA2-PSK) verschlüsseltes WLAN einrichten

Dann liegt es wohl an der VPN Einrichtung. Also mal von einem anderen Internetzugang aus ausprobieren ob du mit deinem Laptop ins VPN kommst (dann liegt es an der Einrichtung im Iphone) oder nicht.

#8
Wie kann ich denn den lokalen Adressraum meines Netzes ändern, ohne für alle Geräte neue IP-Adressen vergeben zu müssen oder am WLAN hängende Geräte 'rauszuschmeißen? Oder habe ich da einen kompletten gedanklichen Block? :confused:

Gar nicht. Daher würde ich erst mal im Zielnetz prüfen ob es daran liegen kann:

Mit "ipconfig" (Windows) bzw "ifconfig" (Linux) erhältst du im Ziel WLAN die Information welche IP der Router hat und welche IP dein Rechner zugewiesen bekam. Wenn die Router IP übereinstimmt musst du die Router IP bei dir zuhause ändern.

Dabei werden temporär alle Rechner aus dem LAN geworfen, die IPs dann per DHCP wieder zugewiesen. Wenn du NAS oder ähnliche Server betreibst musst du wahrscheinlich denen von Hand neue Adressen zuweisen. Und falls du einen Fehler machst kann es sein dass du ein paar Stunden bastelst bis alles wieder tut.

Habe die IPs nun ausgelesen. Im Zielgebiet ist es tatsächlich eine FB, die IP unterscheidet sich in der dritten dreistelligen Ziffer von meiner zu Hause. Dann müsste von dieser Seite doch alles gut sein, oder?

Ja. Nach meinen Kenntnissen müsste es dann tun. Meldest du dich mit deinen Erfahrungen ?

Ja, selbstverständlich gerne. Ich hänge im Augenblick noch ein bisschen bei der Einrichtung des Clients auf dem Laptop trotz der im Prinzip recht guten Anleitung von AVM (hxxp://www.avm.de/vpn). Bis ich das gelöst habe, ist der Reha-Klinik-Aufenthalt zu Ende, fürchte ich.

kleine Frage: was spricht eigentl dagegen, bei dem Laptop (?) von deinem Freund in der Reha einfach einen VPN Client zu benutzen, der seine ganzen Verbindungen mit dem Internet tunnelt und verschlüsselt?

Beispielsweise PureVPN (selber mal gehabt), CyberGhost und was weiß ich - kostet zwar etwa 6-10€/Monat, aber ist sehr bequem zu benutzen und ist sehr sicher.
VPN Dienste 2015 im Vergleich - VPN Service

Weil ich versteh immer noch nicht, was ihr hier mit DynDNS und so vorhabt o.o

Gibt auch gratis Möglichkeiten mit OpenVPN etc :)

Edit:
hab grad innerhalb von 5min so einen Client installiert und surfe grade via VPNBook, ist kinderleicht :)
Hier gibt es noch mehr gratis Anbieter: https://fliegentoeter.eu/kostenloser-vpn-sicher-anonym/

Du musst einfach die Configs herunterladen, in den Programmordner von OpenVPN kopieren, Username/Passwort von der Website eingeben, Connect und win

Die eigene Fritz Box mit DynDNS als VPN Router zu verwenden ist halt attraktiv weil
- keine Kosten entstehen
- keine Passwörter über rumänische Server mit unbekannten Betreibern geroutet werden

Offensichtlich oder ? Nachteil: mehr Aufwand, Vorteil: man lernt mehr dabei.

Kosten hast du bei OpenVPN auch nicht
und dass du den jeweiligen VPN Betreibern vertrauen musst, ist ja ein allgemeines Problem..

Wenn ich das richtige verstehe: Du hast einen Laptop, mit dem verbindest du dich zu deiner Fritzbox (da brauchst DynDNS) und der leitet dann wieder ins Internet?

Wie verschlüsselst du dann die Verbindung zwischen deinem Laptop und der Fritzbox/VPN Server? Weil darum gehts ja gerade in öffentlichen Netzwerken

Nein, das will der Threadersteller tun, ich habe das noch nicht ausprobiert.

Ich verbinde mich manchmal mit meinem Android Handy per VPN mit meiner FritzBox und benötige den MyFritz DynDNS Dienst damit das Handy die Fritz Box findet.

Das VPN ist verschlüsselt, dies sichert die Übertragung bis zu meiner Fritz Box ab. Von der Fritz Box aus ins Internet ist dann alles wieder wie wenn das Handy im WLAN zuhause wäre.

Sorry, dass ich mich so lange nicht gemeldet habe, mein Leben ist gerade etwas chaotisch.
#25
Ja, ich hatte das Problem mit dem Laptop des Angehörigen und fand den Vorschlag, das mit den Bordmitteln der Fritz!Box zu lösen, sehr einladend, bin bloß offenbar ein wenig zu wenig vertraut mit der Materie, um das mal schnell out of the box zu lösen. Wie in #22 beschrieben, bekomme ich die Einrichtung des Fritz-Fernzugangs auf dem betreffenden Laptop nicht hin. Auch mein iPhone mit dem in ihm vorgesehenen cisco-Client zeigt mir zwar das VPN-Symbol an, kann aber keinen Internet-zugriff herstellen. Deshalb konnte ich das Problem noch nicht so richtig eingrenzen. Die Fritz!Box habe ich ohne Probleme entsprechend eingerichtet bekommen und auch die Benutzerprofile, deren Daten ich dann in den jeweiligen Client eingeben muss.