WLAN im Hotel: wie sicherstellen, dass Traffic über VPN läuft?

Techflaws.org

Ensign
Dabei seit
Aug. 2009
Beiträge
166
Bin mit der Freundin in Italien und surfe mit ihrem XP-Notebook im offenen WLAN des Hotels ein paar meiner Seiten/E-Mail Account an, von denen leider nicht alle https verwenden. Somit gehe ich über ihr Uni-VPN, in das ich mich über einen Cisco-Client einwähle. Sobald ich das mache, ist schließt sich das Verschlüsselungssymbol im Tray. Wie kann ich nun feststellen, ob wirklich der gesamte Traffic darüber geht und ich mir keine Sorgen machen muss, dass irgendwer im WLAN Passwörter abschnorchelt (nicht, dass das ein lohnendes Ziel wäre)? IPconfig zeigt folgendes:

Code:
Ethernetadapter Drahtlose Netzwerkverbindung:



        Verbindungsspezifisches DNS-Suffix: 

        Beschreibung. . . . . . . . . . . : Intel(R) PRO/Wireless LAN 2100 3B Mini PCI Adapter

        Physikalische Adresse . . . . . . : 00-04-23-8F-CD-B1

        DHCP aktiviert. . . . . . . . . . : Ja

        Autokonfiguration aktiviert . . . : Ja

        IP-Adresse. . . . . . . . . . . . : 192.168.0.94

        Subnetzmaske. . . . . . . . . . . : 255.255.255.0

        Standardgateway . . . . . . . . . : 

        DHCP-Server . . . . . . . . . . . : 192.168.0.1

        DNS-Server. . . . . . . . . . . . : 208.67.222.222

                                            208.67.220.220

        Lease erhalten. . . . . . . . . . : Mittwoch, 28. August 2013 07:07:19

        Lease läuft ab. . . . . . . . . . : Mittwoch, 28. August 2013 13:07:19



Ethernetadapter LAN-Verbindung 2:



        Verbindungsspezifisches DNS-Suffix: 

        Beschreibung. . . . . . . . . . . : Cisco Systems VPN Adapter

        Physikalische Adresse . . . . . . : 00-05-9A-3C-78-00

        DHCP aktiviert. . . . . . . . . . : Nein

        IP-Adresse. . . . . . . . . . . . : 132.252.242.5

        Subnetzmaske. . . . . . . . . . . : 255.255.255.128

        Standardgateway . . . . . . . . . : 132.252.242.5

        DNS-Server. . . . . . . . . . . . : 132.252.3.10

                                            132.252.1.7

        Primärer WINS-Server. . . . . . . : 134.91.9.52

        Sekundärer WINS-Server. . . . . . : 132.252.185.171
 

Slezer

Banned
Dabei seit
Okt. 2012
Beiträge
2.583
Mein Freund, du bist im Urlaub mit deiner Freundin und machst dir morgens um 07 Uhr Gedanken ob du über eine VPN surfst? Mein Güte wo sind wir nur gelandet...
 

gbene

Commander
Dabei seit
Mai 2011
Beiträge
2.614
Genieße mit deiner Freundin den Urlaub und habt Spaß.

Sicher kannst du dir nicht sein dass da nichts abgegriffen wird, ich gehe aber mal davon aus, dass es sich für keinen lohnt da irgendwelche Mail Passworter in einem Hotel auszuspähen. Da wäre wohl eher der Online Banking Zugang interessant.
 

chrigu

Fleet Admiral
Dabei seit
Mai 2012
Beiträge
22.947
das problem ist das wlan selber... ist es unverschlüsselt musst du dich zuerst beim hotspot anmelden und deine daten können abgegriffen werden. erst danach hast du mit vpn und entsprechender verschlüsselungstechnik sicherheit.

xp-notebook... naja... das ist bedingt sicher.

7 uhr am morgen in EU kann in USA spät am abend sein...
 
Zuletzt bearbeitet:

mugam

Fleet Admiral
Dabei seit
Feb. 2006
Beiträge
11.488
@chrigu - wußte gar nicht, dass Italien in den USA liegt und eine andere Zeitzone hat .... ;)
 

mr hyde

Lieutenant
Dabei seit
Okt. 2012
Beiträge
817
das problem ist das wlan selber... ist es unverschlüsselt musst du dich zuerst beim hotspot anmelden und deine daten können abgegriffen werden. erst danach hast du mit vpn und entsprechender verschlüsselungstechnik sicherheit.
Nein.
Sobald die VPN-Verbindung verschlüsselt wird, sind die Daten auch dann sicher, wenn sie zunächst durch ein offenes WLAN laufen, da die einzelnen Pakete in verschlüsselte VPN-Pakete "eingepackt" werden.
Siehe http://de.wikipedia.org/wiki/Virtual_Private_Network#Verschl.C3.BCsselung
 

TheTux

Ensign
Dabei seit
Mai 2011
Beiträge
190
Mach auf der Kommandozeile mal bitte ein: route print
Bei 0.0.0.0 sollte dann als Gateway und Schnittstelle eine IP des Cisco VPN sein

@chrigu
Und dann kann man die Logindaten des Hotel HotSpots abgreifen... mehr nicht
 

DarkDevil88

Cadet 3rd Year
Dabei seit
Aug. 2008
Beiträge
42
Es kommt drauf an wie der VPN Tunnel konfiguriert ist, bei Cisco gibt es ein verfahren das sich Split Tunneling nennt, hier ein auszug:

Im Normalfall ist Split-Tunneling aktiviert. Split-Tunneling bedeutet, dass nur Daten, die an ein Ziel im LAN gesendet werden sollen, über die VPN-Verbindung (durch den Tunnel) transferiert werden. Alle anderen Daten gehen über die zugrunde liegende Internetverbindung. Dies vermeidet unnötige Umwege und reduziert dadurch die Transferzeiten.
Ich hoffe ich konnte helfen

Dark
 

chrigu

Fleet Admiral
Dabei seit
Mai 2012
Beiträge
22.947
@chrigu
Und dann kann man die Logindaten des Hotel HotSpots abgreifen... mehr nicht
eben.... man kann... und je nach dem wie das händy/laptop konfiguriert ist, wird sogleich per wlan email, facebook status usw... abgefragt, und erst wenn der vpn aktiv ist, gehts über den tunnel... oder bei pptp sogar "unverschlüsselt", je nachdem wer hinter dem hotspot sitzt.

somit stimmen seine befürchtungen.

http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html
 
Zuletzt bearbeitet:

Lawnmower

Fleet Admiral
Dabei seit
Mai 2011
Beiträge
11.752
je nach VPN Client Konfiguration bzw Routen Konfiguration geht nur der Traffic für die Uni via VPN, der Rest geht via "lokalem" Internet und daher unverschlüsselt (ist z.B. für Homeoffice sinnvoll weil man dann sein privaten Traffic nicht noch zusätzlich über das Uni/Firmen-Netzwerk abfackelt und da ggf von den WAN Restriktionen der IT Admins betroffen wäre wie etwa kein Facebook, etc).

Könnte man per erwähnten Route Print ermitteln oder allenfalls tuts auch ein Traceroute auf eine IP wie Google oder Computerbase um zu sehen wo der durchgeht.
 
Zuletzt bearbeitet:

DonConto

Lt. Commander
Dabei seit
Juli 2004
Beiträge
1.660
Wie schon gesagt: Du solltest auf jeden Fall sicherstellen, dass das Notebook keine sensiblen Daten sendet bevor der Tunnel steht. Ansonsten kann es durchaus sein, dass jemand diese Daten abgreift.

Steht der Tunnel, kannst du mal einen Traceroute auf 8.8.8.8 machen. Da sollte als erster oder zweiter Eintrag eine 132.252.x.x Adresse auftauchen.
 

savuti

Lt. Commander
Dabei seit
Jan. 2010
Beiträge
1.384
Ich befürchte, dass die VPN-Verbindung ist nur zwischen Client und Uni-Server aktiv ist. Sämtlicher anderer Traffic läuft dann außerhalb der gesicherten Verbindung. Bringt also genau null.
 

TheTux

Ensign
Dabei seit
Mai 2011
Beiträge
190
@crigu
Wenn die Uni noch PPTP einsetzt sollte er sich dort dringend exmatrikulieren :freak:
Spaß beiseite, wer betreibt einen solchen Aufwand bei "normalen" Hotelgästen...
 

e-Funktion

Commodore
Dabei seit
Feb. 2013
Beiträge
4.278
Full-tunnel verwenden wenn ein solches VPN-Profil angeboten wird, Punkt. Ob diese Art der Nutzung eventuell verboten wurde ist in den Nutzungsbedingungen durchzulesen.

Du solltest auf jeden Fall sicherstellen, dass das Notebook keine sensiblen Daten sendet bevor der Tunnel steht.
Pre-Logon soll unter Windows 7 mit Anyconnect gehen (habe es selbst nur bis XP mit PLAP vom IPsec-Client verwendet): https://supportforums.cisco.com/thread/345416

Ansonsten halt einfach nen anderen VPN-Zugang beschaffen, dürfte ja nicht so schwer sein :D
 
Zuletzt bearbeitet:

chrigu

Fleet Admiral
Dabei seit
Mai 2012
Beiträge
22.947
@crigu
Wenn die Uni noch PPTP einsetzt sollte er sich dort dringend exmatrikulieren :freak:
Spaß beiseite, wer betreibt einen solchen Aufwand bei "normalen" Hotelgästen...
schon klar... aber bei einem xp-rechner... weiss man ja nie...

jemand, der email-adressen verkauft für urlaubs-werbung oder für andere nicht seriösen dinge? im urlaub stellt manch einer gerne sein gehirn in den koffer unters bett.

aber es gibt ja beim vpn-verbinder die option "sämtlichen traffic über vpn..."
 

mr hyde

Lieutenant
Dabei seit
Okt. 2012
Beiträge
817
eben.... man kann... und je nach dem wie das händy/laptop konfiguriert ist, wird sogleich per wlan email, facebook status usw... abgefragt, und erst wenn der vpn aktiv ist, gehts über den tunnel...
Ich denke, man kann davon ausgehen, dass jemand, der einen solchen VPN Aufwand im Urlaub betreibt, sich schon darüber im Klaren ist, dass man Emails, Facebook etc erst NACH Aufbau des Tunnels checkt und entsprechend handelt.

Und auch das initiale Aufbauen des VPNs im offenen WLAN ist bei entsprechendem verschlüsselten Verbindungsaufbau sicher.

Man muss eben nur sicher gehen, dass wirklich sämtlicher Traffic durchs VPN geht. Das Vorgehen wurde bereits beschriebnen.


@savuti: Falsch! Siehe mein Beitrag von 8:09h.
 

savuti

Lt. Commander
Dabei seit
Jan. 2010
Beiträge
1.384
Ich kann mit 100% Sicherheit sagen, dass sehr viele Unis, vllt. nicht alle, nur den Traffic mit ihren Server mit ihrer VPN-Verbindung per Profil tunneln. Darauf wird auch in den jeweiligen Nutzungsbedingungen hingewiesen.
 

DonConto

Lt. Commander
Dabei seit
Juli 2004
Beiträge
1.660
Top