Hotel-Proxy gesucht

Woly · 28. Juni 2010 um 16:33

Hallo Experten,

ein Hotelier möchten seinen Gästen die Möglichkeit bieten, mit den mitgebrachten Notebooks online zu gehen. Dazu wurde auf jedes Zimmer ein LAN-Kabel verlegt, welches dann über einen entsprechenden Switch mit der Fritz.box verbunden ist.

Um sich nun rechtlich abzusichern (falls mal einer der Gäste etwas illegales im www treibt), möchte er eine entsprechende Protokollierung zwischenschalten. Gibt es dafür gute und preiswerte Lösungen?

Danke für Hinweise!

Gruß
(Woly)

Hermann_Schaefer · 28. Juni 2010 um 17:30

Gibt es dafür gute und
preiswerte Lösungen?

Gut - ja. Preiswert? Nein.
Solche Fertigsysteme gibt es von Lancom, Envel u.a. Google hilft weiter.

Woly · 28. Juni 2010 um 17:45

Gut - ja. Preiswert? Nein.
Solche Fertigsysteme gibt es von Lancom, Envel u.a. Google
hilft weiter.

Hallo Hermann,

selbstverständlich habe ich Google schon bemüht. Nur leider scheinen mir die richtigen Suchbegriffe zu fehlen.

Dir von Dir vorschlagenen Firmen bieten anscheinend nur Lösungen via W-LAN an. Wir bräuchten etwas, das die LAN-Aktivitäten protokolliert.

Gruß
(Woly)

Thomas_Fischbach_ac0842 · 28. Juni 2010 um 19:46

Hallo,

ews gibt diverse Möglichkeiten.

Z.B. einfach soetwa wie z.B.:

http://de.wikipedia.org/wiki/Endian_Firewall

oder etwas umfangreicher

http://de.wikipedia.org/wiki/EBox

usw.

mfg

tf

filewalker2 · 29. Juni 2010 um 20:09

Das simpelste wäre einfach ein Mirror Port einrichten, der den Datenverkehr vom Switch zur Fritz!Box clont. Den einfach auf nem pc speichern und mit nem Passendem Programm (z.b. ethereal) lesen.
Falls dein Switch nciht Managbar ist und kein port mirroring unterstützt, kann die fritzbox einen mirroring port bereitstellen.
Besser wäre allerdings direkt vom Switch, da dann je nach Switch die Ports beistehen, was wichtig ist. Sonst hast du zur identifizierung nur ip und mac adresse. Da die aber Veränderbar sind, sind diese nicht 100% sicher. Um den Port zu wechseln, müsste man schon das Zimmer wechseln oder zugang zum switch haben:wink:

Du könntest aber auch einen Windows Server einrichten und den per Routing und Ras als Proxy mit Firewall und Benutzerkennung einrichten. Dann hast du auch kontrolle auf was zugegriffen wird, wer, wann, was macht und kannst auch Ports zuverlässig sperren.

Es gibts auch fertige Linux Systeme als Proxy(hab letzte mal noch über ein kostenloses gelesen, weiiß den Namen aber nicht mehr).

Oder du nimmst nen Webfilter („Kindersicherung“) die Protokolliert auch alle ereigniss mit.

Stefan62 · 30. Juni 2010 um 13:57

Hi,

Das simpelste wäre einfach ein Mirror Port einrichten, der den
Datenverkehr vom Switch zur Fritz!Box clont. Den einfach auf
nem pc speichern und mit nem Passendem Programm (z.b.
ethereal) lesen.

Erstens wäre das mit Kanonen auf Spatzen geschossen, zweitens - wie viel Speicherkapazität soll man denn vorhalten, um das alles - eventuell Monate später - vorlegen zu können und drittens winkt noch der §202 StGB aus der Ferne!

Gruß
Stefan

ESSJOTT_c3e443 · 30. Juni 2010 um 19:58

Illegal?
Hallo,

Um sich nun rechtlich abzusichern (falls mal einer der Gäste
etwas illegales im www treibt), möchte er eine entsprechende
Protokollierung zwischenschalten. Gibt es dafür gute und
preiswerte Lösungen?

um sich rechtlich abzusichern, sollte man auch im Rahmen der geltenden Gesetze handeln.

Ich denke, dass eine Protokollierung, die ja nur dann zielführend wäre, wenn personenbezogen erfasst wird, wer wann welche Seiten aufgerufen hat, eindeutig gegen geltendes Recht verstoßen dürfte.

Gruß

S.J.

mabuse · 1. Juli 2010 um 13:00

Scheißegal!

Ich denke, dass eine Protokollierung, die ja nur dann zielführend wäre, wenn personenbezogen erfasst wird, wer wann welche Seiten aufgerufen hat, eindeutig gegen geltendes Recht verstoßen dürfte.

Richtig.

Na, und?

Man deklariert das ganze einfach als „nötig für die Abrechnung“ und schon . . . tja?
Mit exakt dieser Definition behält auch die Telekom die Verbindungsdaten ihrer Flatrate-Kunden.

lg, mabuse

filewalker2 · 1. Juli 2010 um 14:04

ok. Da könntest du recht haben. Das war nur die erste Idee die mit kam. Allerdings wird über das Lan doch eh nur internetdaten übertragen, keine datein oder so, also dürfte die ausgabe-datei nicht sonderlich groß werden. Zur speicherung kann man die auch super packen mit zum bsp. rar oder 7z. Das sollte die Protokolldatein gut komprimieren.

Zu dem geltenden Recht: da hast du recht! Allerdings ist auch festgesetzt, dass du das irgendwie nachweisen musst im Fall der Fälle…heißt, dass da schon der Widerspruch in sich steckt.
Wenn du aber die Leute die das Internet nutzen informierst, dass du aus rechtlichen GRünden um dich abzusichern ihren Verkehr protokollierst, und dise einverstanden sind, ist es kein Verstoß gegen das geltende Recht.
Also knüpfst du einfach die Protokollierung als Bedingung an das internet. Wenn jemand nciht zustimmt, sperrst du ihm den Port und er bekommt kein Internet.

ESSJOTT_c3e443 · 1. Juli 2010 um 19:11

Ja, ja. Man sollte schon differenzieren.

Ich denke, dass eine Protokollierung, die ja nur dann zielführend wäre, wenn personenbezogen erfasst wird, wer wann welche Seiten aufgerufen hat, eindeutig gegen geltendes Recht verstoßen dürfte.

Richtig.

Na, und?

Also weiß man, dass man im Unrecht ist, tut es aber trotzdem.

Man deklariert das ganze einfach als „nötig für die
Abrechnung“ und schon . . . tja?

… bleibt es schlichtweg illegal. Wenn man im Hotel den Zugang zum WLAN mietet, wird zeitbezogen abgerechnet. Wer wann welche Seiten besucht hat, ist für die Abrechnung völlig irrelevant und somit ein klare Verstoß gegen geltendes Recht. Es wäre mir auch völlig neu, wenn illegale Handlungen legal würden, nur weil man dem ganzen einfach einen anderen Namen gibt, es als irgend etwas anderes „deklariert“ oder weil man sich irgendeine hirnrissige aber völlig absurde Begründung dafür ausdenkt.

Mit exakt dieser Definition behält auch die Telekom die
Verbindungsdaten ihrer Flatrate-Kunden.

Unsinn. Die Telekom erfasst wer mit welcher IP Adresse Verbindungen aufgebaut hat. Es wird aber nicht erfasst, welche Seiten besucht wurden.

Zudem: Wird etwas illegales legal, nur weil jemand anderes auch illegal handelt? Darf ich in der Stadt auch legal schneller als 50 Km/h fahren, nur weil andere das auch tun?

Es ist völliger Unsinn, den Du da schreibst. Ein derartiges Protokollieren ohne jegliche Rechtsgrundlage ist nicht nur illegal, sonder dürfte auch strafbar sein.

Bevor Du hier so unfundierte Aussagen postest, solltest Du Mal einen Blick in das Bundesdatenschutzgesetz werfen:

http://www.gesetze-im-internet.de/bdsg_1990/

Gruß

S.J.

Fritze · 2. Juli 2010 um 04:36

Hallo,

ein Hotelier möchten seinen Gästen die Möglichkeit bieten, mit
den mitgebrachten Notebooks online zu gehen. Dazu wurde auf
jedes Zimmer ein LAN-Kabel verlegt, welches dann über einen
entsprechenden Switch mit der Fritz.box verbunden ist.

Um sich nun rechtlich abzusichern (falls mal einer der Gäste
etwas illegales im www treibt), möchte er eine entsprechende
Protokollierung zwischenschalten. Gibt es dafür gute und
preiswerte Lösungen?

Der Hotelier wäre gut beraten, grundsätzlich den direkten Zugang zum Internet zu blockieren und ein sog. „captive portal“ vorzuschalten. Alle Internetnutzer müssen sich zunächst auf einer solchen Seite anmelden, bevor sie ins Netz können. Der Hotelier druckt nun beschänkt gültige Zugangskennungen aus, die er ggf. sogar verkaufen könnte.

Frei erhältliche Captive Portal Lösungen wären z.B. PepperSpot oder CoovaChilli. Aber vorsicht: Es gehört definitiv IT Knowhow > „Ich hab mal bei Windows die Netzwerkeigenschaften angeklickt“ dazu, sowas einzurichten. Man braucht ja auch noch einen Webserver für die Portalseiten und einen Radius-Server für die Verwaltung der Kennungen.

Protokolliert wäre dann, welcher Gast wann mit welcher (internen) IP unterwegs war. Mehr braucht der Hotelier nicht zu wissen.

Links:

http://pepperspot.sourceforge.net/
http://www.coova.org/CoovaChilli

Gruß

Fritze

mabuse · 5. Juli 2010 um 16:33

Hei Steve,

sicherlöich kann und sollte man da differenzieren, aber:

Unsinn. Die Telekom erfasst wer mit welcher IP Adresse Verbindungen aufgebaut hat. Es wird aber nicht erfasst, welche Seiten besucht wurden.

Richtig.
Und mit welchem Recht schreibt die Telekom diese Verbindungsdaten mit?
Die berufen sich auf „zu Abrechnungszwecken“ - wohlgemerkt, selbst bei Flatrate-Kunden.

Ich krieg dabei die Männekes - wenn Datenschutz, dann bitte für alle.

Es ist völliger Unsinn, den Du da schreibst. Ein derartiges Protokollieren ohne jegliche Rechtsgrundlage ist nicht nur illegal, sonder dürfte auch strafbar sein.

Also wird mal wieder mit zwei Maßstäben gemssen, einer für die Telekom und einer für alle anderen.

Bevor Du hier so unfundierte Aussagen postest, solltest Du Mal einen Blick in das Bundesdatenschutzgesetz werfen:

Ich geb dir ja recht - aber manchmal ist ziviler Ungehorsam die einzige Art, was zu ändern.

Im Übrigen bin ich noch gar nicht so sicher, das das wirklich illegal ist - vorrausgesetzt, der Kunde wird (durch Aushang oder Aushändigung) deutlich darauf hingewiesen.

lg, mabuse

Nimral · 6. Juli 2010 um 20:53

Das klappt so nicht.
Eine einfache Lösung? Selbst basteln? Da ist stark der Wunsch der Vater des Gedanken.

Für eine durchgängige Beweiskette bräuchte man folgende Tabellendaten:

1- Fritzbox: externe DSL IP Adresse (ändert sich idR alle paar Stunden)
2- Fritzbox: die NAT Tabelle
3- Fritzbox: die DHCP Tabelle
4- Lokaler Switch: die MAC Adresstabelle pro Port, über die Portnummer bekäme man dann das Zimmer des Bösewichtes heraus.
5- Dann müsste man nur noch irgendwo dokumentieren, welcher Rechner welches Gastes welche MAC Adresse hat, und man müsste verhindern, dass der Bösewicht sie - weil er ein vorsichtiger Bösewicht ist - selber durch eine Andere ersetzt, oder - hilfsweise - seine Bösewichtigkeiten über ein schnell angestecktes und gut verstecktes USB/Ethernet Zwischensteckerchen macht. Anders herum: die MAC Adresse wäre auch nicht wasserdicht, weil nur über den umweg der Hardware, die man nicht mehr vorliegen hat, einem gast zuzuordnen.

Schaut man diese widerliche Ausgangssituation aus der Vogelperspektive an, sieht man: selbst wenn man den kompletten Netzwerkverkehr im lokalen Netz mitsniffen würde, bekäme man nur 1-3 heraus. Dazu müsste man allerdings nicht einmal die kompletten Paketdaten aufzeichnen, sondern nur die Paket-Header, und wäre deshalb sogar datenschutzrechtlich m.E. auf der zulässigen Seite.

Problem: die Filterfunktion des Switches, und wenn man einen Hub näme gibt es da prinzipiell keine permanente Zuordnung von MAC Adresse zu Port. Also Switch mit management und Monitoring-Port (–> obere Preisklasse), aber dummerweise fehlt dann immer noch 4-5). 4 könnte man (wackel) eventuell noch aus dem Spanning Tree Protokoll des Switches rauslesen, oder unter der Annahme dass man für größere Bösewichtigkeiten etwas Zeit braucht, was einem die Gelegenheit gäbe, die Port-Konfiguration des Switches anzupollen (SNMP Bridge MIB lesen oder irgendwie seine Management-Software missbrauchen, da bekommt man die MAC Adresse oft ausgeworfen, oder er kann Syslog und loggt das Anstecken eines ports samt MAC Adresse auf einen Syslog Server), und das alles nur um dann aber an 5 endgültig zu scheitern.

Fazit: eine brauchbare Lösung muss mit Ausnahme des DSL Modems die komplette Fritzbox ersetzen. Eigene Kiste mit eigenem DHCP Server + NAT, die ein Protokoll mitschreibt. Dazu braucht das Kistchen auf jeden Fall mehr permanenten Speicher als eine Fritzbox je haben wird. Parallel dazu muss man die Fritzbox entsprechend auf „durchpfeifen“ konfigurieren, ungewiss dass das bei einer Fritzbox überhaupt geht.

Und um die Switch-Port/MAC Problematik zu lösen benötigt man - weil die MAC Adresse nicht wasserdicht ist - eine nachweisbare Verbindung zwischen Box und Gast, unabhägig von der Hardware des Gastes, das geht nur über ein eigenes Authentifiziersystem, wie z.B. ein vom System generiertes Passwort, das nur er kennt. Man müsste es ihm vermutlich gegen Unterschrift in einem versiegelten Kuvert überreichen, sonst könnte er behaupten, ein Hotel-Angestellter habe sich dazwischen gemogelt, was nicht einmal allzu unwahrscheinlich wäre.

So etwas gibt es nicht für lau, und so etwas will von einem Experten aufgebaut und gewartet werden, und das lohnt sich nur, wenn man die erheblichen Kosten auf die Gäste umwälzt, die wiederum nur zum geringen Teil bereit sind, für Internet im Hotel zu bezahlen. Daher findet man meiner bescheidenen Meining nach zwei praktikable Lösungen:

1.) Der Wirt lebt mit dem Risiko, so schlimm wirds nicht werden, und er kann ja versuchen, mit „Security by Obscurity“ die Wahrscheinlichkeit, dass er draufzahlt, zu minimieren, indem er jeden Gast eine Erklärung, dass der sich dieser mit der Protokollierung seiner Verbindung bereit erklärt, unterschreiben lässt, dabei aber verschweigt, dass er das technisch gar nicht kann

oder -

2.) man deligiert die Aufgabe an einen Dienstleister (die Telekom hat inzwischen in vielen Hotels ihre teuren, aber ganz gut gewarteten Hotspot Kästchen stehen), aber dann nüzen es nur wenige Gäste, viele sind verärgert wegen der hohen Preise und rechnen das dem „gierigen“ Wirt zu, und man wird, wenn überhaupt, nur geringen Gewinn herausziehen können, den Löwenanteil kassiert (vermutlich) der Dienstleister.

Armin.

Woly · 6. Juli 2010 um 22:28

Wow… das nenn’ ich mal 'ne sauber recherchierte Antwort. Sie zeigt im Grunde recht anschaulich, dass das Ganze tatsächlich nur über eine professionelle Lösung realisierbar ist. Und dass die wiederum mit derart hohen Kosten verbunden ist, dass sie für einen „kleinen“ Hotelier von vornherein nicht tragbar ist.

Ich denke, dass hier das Sperren aller Ports im Router (mit Ausnahme von 80, 443, 25 und 110) das Risiko illegaler Aktivitäten (in erster Linie durch Tauschbörsen-Uploads) um 98% verringert. Kleiner Aufwand - große Wirkung. Für die restlichen 2% steigt dann der Aufwand übermäßig an.

Ich unterstelle dem „normalen“ Hotelgast im übrigen nicht mal eine böse Absicht, sondern gehe eher von Unwissenheit oder Gleichgültigkeit im Zusammenhang mit BitTorrent & Co. aus.

Auf jeden Fall danke ich Dir für Deinen wirklich sehr konstruktiven Beitrag.

Gruß und schönen Abend noch!
(Woly)