VPN umgeht Internet-Sperren im Krankenhaus

[MrTony]

Hallo zusammen.

Kurzer Kontext, ich bin aktuell länger im Krankenhaus. Dort ist es so, dass es überall W-LAN gibt, man aber nur eine sehr gedrosselte Verbindung bekommt in der auch Streaming Dienste deaktiviert sind.
Für mehr Bandbreite und Streaming muss man ein ziemlich teures Monatsticket löhnen.
Ich hatte nun kurz auf dem Handy meinen VPN an und habe überrascht festgestellt, dass auf einmal alles uneingeschränkt funktioniert auch ohne Monatsticket.

Im Grunde bin ich mit der Lösung sehr zufrieden, bin aber einfach ein bisschen am grübeln, weil ich nicht einschätzen kann, ob das letztlich offensichtlich ist, oder irgend eine markante Sicherheitslücke.

Ich hatte mir das so vorgestellt, dass auf einem Server im HIntergrund IP und Mac Adresse einfach einem Account zugeordnet werden und es für den Account entweder ein Ticket gibt oder auch nicht. Der Account erhält entsprechend die Bandbreite oder Sperren für Streamingdienste etc.

Liegt das schlicht in der Natur einer VPN-Verbindung, dass das Netzwerk hier nicht prüfen kann, welche Webseiten (Streaming Dienste) aufgerufen werden und dass VPNs irgendwie außerhalb der Kategorisierung Ticket Ja/Nein laufen? Oder steht zu vermuten, dass hier einfach irgendwas am Krankenhausnetzwerk/dem Server dahinter falsch konfuguriert wurde?

Beste Grüße!

 

[Sephe]

Also mehr Bandbreite bekommst du durch VPN nicht.

Ich gehe davon aus, dass die VPN Verbindung deines Smartphones über Mobile Daten aufgebaut wurde und nicht über das WLAN des Krankenhauses.

Btw: Gute Besserung!

 

[just_f]

Ich denke eher, dass bei der Nutzung von VPN nicht das WLAN sondern das Internet vom Handy genutzt wurde. Der Zugang und die Bandbreite über das WLAN ändern sich durch einen VPN nicht.

Edit:
Sephe war schneller^^

 

[Drewkev]

Ich denke eher, dass du mobile Daten genutzt hast.

 

[NJay]

Liegt das schlicht in der Natur einer VPN-Verbindung, dass das Netzwerk hier nicht prüfen kann, welche Webseiten (Streaming Dienste) aufgerufen werden

Das definitiv. Das ist ja (einer) der Gruende, warum man ein VPN nutzen kann. Das Krankenhaus sieht jetzt nur, dass du mit dem VPN-Server redest, aber nicht mehr.

und dass VPNs irgendwie außerhalb der Kategorisierung Ticket Ja/Nein laufen? Oder steht zu vermuten, dass hier einfach irgendwas am Krankenhausnetzwerk/dem Server dahinter falsch konfuguriert wurde?

Dass du somit unbegrenzte Geschwindigkeit hat wird wahrscheinlich ein Fehler in der Konfiguration sein.

 

[michi.o]

In der Klinik in Tübingen waren bestimmte Seiten auch gesperrt, allerdings nur per DNS. Habe dann manuell einen DNS Server im Handy eingetragen und konnte wieder auf alles zugreifen.

 

[rony12]

Also sagen wir mal du hättest nicht die mobilen Daten verwendet und wärst über das W-Lan des KH gegangen

denn ist es absolut möglich wenn VPN Protokolle und Ports nicht gesperrt worden sind, dass dann alle Dienste funktionieren, weil ja eben alles verschlüsselt übertragen wird. Der Proxy / die Firewall kann nur sehen, dass Pakete nach außen gehen, aber nicht welcher Inhalt.

Auch das Bandbreitenlimit kann dadurch manchmal ausgehebelt werden, weil hier eben Bandbreite nur auf Protokoll (http(s)) oder Portebene (80/443) limitiert wird.

 

[Lawnmower]

Ansonsten kann man ja auch einige Streaming Inhalte offline speichern, das könnte ja ein Bekannter/Verwandter übernehmen und Dir dann das Gerät übergeben.
Oder sonst eben eine 4G/5G Flat bzw hohen/unlimitierten Datenvolumen während des Aufenthalts, dann bist nicht auf das WLAN vom Spital angewiesen.

Ansonsten wurde ja bereits erläutern warum es in deinem Fall dann plötzlich ging, schliesse mich deren Vermutung an.

 

[xexex]

Liegt das schlicht in der Natur einer VPN-Verbindung, dass das Netzwerk hier nicht prüfen kann, welche Webseiten (Streaming Dienste) aufgerufen werden und dass VPNs irgendwie außerhalb der Kategorisierung Ticket Ja/Nein laufen?

Jain! Natürlich maskiert eine VPN Verbindung letztlich die Dienste die darüber aufgerufen werden, die Router sehen zunächst nur eine VPN Verbindung, den Zugriff darüber auf die Streaming Dienste ist nur noch mit Aufwand zu erkennen.

Prinzipiell ist eine Erkennung dann aber trotzdem möglich, dafür braucht man allerdings eine ausgewachsene Firewall mit Deep Inspection, die das Krankenhaus scheinbar nicht hat oder nicht richtig konfiguriert hat.

denn ist es absolut möglich wenn VPN Protokolle und Ports nicht gesperrt worden sind

Das ist bei den meisten VPN Lösungen gar nicht möglich, es wird da schlichtweg eine Verbindung über Port 443 aufgebaut und VPN darüber getunnelt. Auch dafür müsste man die Pakete untersuchen, allerdings VPN Sperre im Krankenhaus? Ich denke man wird sich schon bemühen, dass Patienten auf Firmenserver und ähnliches zugreifen können.

 

[chr1zZo]

Somit könnte man auch die VPNs direkt zu machen, so das ein Aufbau gar nicht erst möglich wäre

 

[xexex]

Somit könnte man auch die VPNs direkt zu machen, so das ein Aufbau gar nicht erst möglich wäre

Siehe Edit. Grundsätzlich schon, aber dann kann ein Patient auch nicht mehr auf einen Firmenserver zugreifen usw. Ich denke genau das soll möglich sein, deshalb blockt man vor allem Streaming Dienste, damit zig Netflix Streams nicht die Leitung für sinnvollere Aufgaben verstopfen.

Technisch gesehen könnte man aber natürlich auch dafür, ein Ticket mit entsprechendem QoS verkaufen. Meist sind die Krankenhäuser aber technisch eher gar nicht zu sowas fähig.

 

[chr1zZo]

Siehe Edit. Grundsätzlich schon, aber dann kann ein Patient auch nicht mehr auf einen Firmenserver zugreifen usw. Ich denke genau das soll möglich sein, deshalb blockt man vor allem Streaming Dienste, damit zig Netflix Streams nicht die Leitung für sinnvollere Aufgaben verstopfen.

Und da bin ich so ein Mensch "Du liegst im KH, nicht um zu Arbeiten"

Dennoch bin ich der Meinung, man hat auch ein Firmentelefon, darüber Hotspot.

Saß schon oft beim Kunden, und in deren Gast WLAN bzw. WLAN für "externe" war nix VPN möglich. Da standen eben ordentliche Firewalls.

 

[corvus]

Ja hier kann durchaus eine Firewall aktiv sein, die anwendungsbasiert (zB für Streamingdienste) den Traffic drosselt. Das kann eigentlich jede sog. Next-Gen-Firewall auf Layer 7.
Und wenn es für dein verwendetes VPN weder eine Regel gibt, die den Traffic komplett sperrt noch irgendwo drosselt, dann hast darüber auch mehr Bandbreite.

 

[eYc]

Grundsätzlich schon, aber dann kann ein Patient auch nicht mehr auf einen Firmenserver zugreifen usw. Ich denke genau das soll möglich sein,

Das könnte man dann aber auch, wie Streaming, durch das teurere Ticket ermöglichen.

Für mehr Bandbreite und Streaming muss man ein ziemlich teures Monatsticket löhnen.

 

[corvus]

Oder steht zu vermuten, dass hier einfach irgendwas am Krankenhausnetzwerk/dem Server dahinter falsch konfuguriert wurde?

Beste Grüße!

Ergänzung zum vorigen Beitrag:

Ja davon würde ich ausgehen. Wenn die das als Option verkaufen, dann wird der Traffic einfach auf Layer 7 an der Firewall gedrosselt. Allerdings scheint es keine Regeln zu geben, die VPN nach draussen ganz verbieten. Daher funktioniert das Ganze auch ohne den Kauf des Tickets. Die müssen das System wohl nochmal überdenken

 

[Joe Dalton]

Moin,

es ist ja nett, wie hier manche einfach nur auf die Firewall schimpfen, aber das WLAN und dessen Möglichkeiten schlichtweg ignorieren...

Kurzer Kontext, ich bin aktuell länger im Krankenhaus. Dort ist es so, dass es überall W-LAN gibt, man aber nur eine sehr gedrosselte Verbindung bekommt in der auch Streaming Dienste deaktiviert sind.

Im WLAN nachvollziehbar: Die Bandbreite pro AP ist begrenzt und alle verbundenen Clients teilen sie sich (shared media).

Für mehr Bandbreite und Streaming muss man ein ziemlich teures Monatsticket löhnen.

You get, what you paid for...
Was ist denn in diesem Kontext "teuer"?

Ich hatte nun kurz auf dem Handy meinen VPN an und habe überrascht festgestellt, dass auf einmal alles uneingeschränkt funktioniert auch ohne Monatsticket.

siehe die anderen Rückmeldungen: prüfe mal Dein mobiles Datenvolumen

Ich hatte mir das so vorgestellt, dass auf einem Server im HIntergrund IP und Mac Adresse einfach einem Account zugeordnet werden und es für den Account entweder ein Ticket gibt oder auch nicht. Der Account erhält entsprechend die Bandbreite oder Sperren für Streamingdienste etc.

Dein Client muss nicht unbedingt erst an der Firewall limitiert werden, sondern das kann ggfs. das WLAN schon. Per RADIUS und Accounting lassen sich diverse Dinge regeln. Häufig hängen dann nach einer Authentifizierung die Beschränkungen an der MAC-Adresse Deines Geräts, da die IP-Adresse sich je nach Standort und DHCP Leasetime ändern kann.

Liegt das schlicht in der Natur einer VPN-Verbindung, dass das Netzwerk hier nicht prüfen kann, welche Webseiten (Streaming Dienste) aufgerufen werden und dass VPNs irgendwie außerhalb der Kategorisierung Ticket Ja/Nein laufen? Oder steht zu vermuten, dass hier einfach irgendwas am Krankenhausnetzwerk/dem Server dahinter falsch konfuguriert wurde?

Die Drosselung muss nicht auf Protokollebene stattfinden, sondern bereits allgemein auf Clientebene und schon im AP. Die Firewall ist meistens nur eine weitere Komponente, auf der gefiltert bzw. reguliert werden kann. Aber davor können schon APs und WLCs den Clienttraffic filtern und einschränken.

Generell kann ich von "meinen" Krankenhauskunden sagen, dass deren Netze in einem sehr schlechten Zustand waren, mit Ausnahmen die die Regel bestätigen.