Jeder sieht jeden

Ein Erlebnis auf dem Weg zur IT-sa 2018, das ich aus Zeitgründen leider erst jetzt blogtechnisch verarbeiten konnte. Metronom möge es mir verzeihen, wenn aufgrund der zeitlichen Verzögerung das Problem inzwischen behoben sein sollte. Ich hatte im Vorfeld Kontakt mit der Pressestelle aufgenommen, leider aber keine Antwort auf meine E-Mail erhalten.

Im ICE heißt es „WLANonICE“, im Metronom „free enno_wifi“. Was die Deutsche Bahn richtig konfiguriert hat, läuft beim Metronom allerdings falsch: Im Enno-WLAN kann jedes angemeldetes Gerät mit anderen angemeldeten Geräten kommunizieren. Das ist für ein öffentliches WLAN ein zumindest unsichere Einstellung. Meldet sich nur ein Gerät mit Schadcode in dem Netz an, könnten auch andere Geräte befallen werden. Auch wenn Windows Sicherheitsfeatures wie Firewall und Defender mitbringt: Installierte Software reißt unter Umständen Löcher in Schutzmaßnahmen. Dies ist können Remote-Tools wie Teamviewer oder VNC sein, aber eine Entwicklungsumgebung für Datenbanken öffnet unter Umständen Ports, die im WLAN prinzipiell von jedem angreifbar sind.

Unsicheres WLAN erkennen

Wie erkennt man, ob ein WLAN ohne Client-Isolierung konfiguriert wurde? Das kostenlose Tool Wireshark kann so eingesetzt werden, dass es alle Datenpakete einsammelt, die an der WLAN-Schnittstelle ankommen. Befinden sich darunter Broadcast-Pakete anderer Geräte, fehlt die Client-Isolierung.

Wer keinen Laptop zur Hand hat, kann sich die kostenlose App „Fing“ herunterladen und auf seinem Smartphone installieren. Das kleine Programm scannt das Netzwerk nach anderen Geräten ab. In einem Gäste-WLAN sollte prinzipiell nur ihr Gerät und ein Router zu sehen sein.

 

Urlaub im Sauerland: Über 300 Geräte im WLAN

Eine Überraschung erlebte jüngst in meinem Pfingsturlaub 2019: in einer Ferienwohnung in Eslohe (Sauerland) wurde kostenfreies WLAN angeboten. Ein Fing-Scan zeigte mir über 300 Geräte an, unter anderem auch Chromecast-Geräte zum Streamen von Filmen. Welche Überraschung, erschiene doch in einer anderen Ferienwohnung plötzlich ein von mir gestreamter Film…

 

WLAN sicher konfigurieren

Gäste-WLANs werden in der Regel so konfiguriert, dass sich die Clients unterander nicht sehen können.  Normalerweise ist dies nicht erforderlich, sofern nicht andere Geräte im Netzwerk zwingend angesprochen werden müssen (z. B. ein Chromecast oder ein Drucker). Gast-WLAN-Einstellungen sehen – sofern sie gut implementiert sind – normalerweise per Voreinstellung eine Client-Isolierung vor. Möglicherweise ist diese Option an ihrem Router vorhanden, aber deaktiviert. Melden Sie sich auf der Administrationsseite an (differiert von Router zu Router) und suchen Sie die Einstellungen für das Gäste-WLAN.