ssh tunnel.example.com -p 443 -X -f '/usr/local/mozilla/mozilla &'
auf dem entfernten Rechner meinen Mozilla starte und Server-based-Computing-mäßig surfe. Wegen der zu übertragenen Datenmasse macht das Geruckele aber keinen Spaß. Die edleren Protokolle von VNC oder NX [3], auf 443 umgebogen, würden die Variante flott machen.
Auch denkbar ist es, einen Open-VPN-Server zu Hause auf dem TCP-Port 443 lauschen zu lassen. Open VPN ist in der Lage ein ganzes Netzwerk über einen TCP oder UDP-Port zu tunneln. Damit wäre der Laptop sofort Mitglied im Heimnetz. Open VPN ließe sich auch dazu bewegen, einen Proxy zu täuschen und den gesamten Netzwerkverkehr durch das VPN zu lenken [4].
Was Anbieter tun können
Wie hätte Swisscom das Problem umgehen können? Soweit sichtbar setzt der Anbieter großflächig auf Proxies, die Unterscheidung zahlender User/nicht autorisierter User anhand der IP oder MAC-Adresse prüfen und steuern. Einen HTTPS-Proxy fehlerfrei zu betreiben ist nicht trivial – es gar nicht zu tun, weckt aber den Spieltrieb und animiert War Driver aus der WLAN-Nachbarschaft.
Besserung würde eine einfache Firewall bringen, die alle Ports für den Rechner des Gastes blockt, bis der zahlt. Das hilft zwar nicht gegen IP- umd MAC-sniffende Gäste, die anderen den Zugang wegfangen. Doch das Problem hat das bestehenden System auch schon. Komplexität und Sicherheit sind nicht immer äquivalent.
Schluss is’!
Das Hotel habe ich sofort nach meinem erfolgreichen Test in Kenntnis gesetzt. Die Mitarbeiter an der Rezeption versprachen mir die Meldung an Swisscom weiterzuleiten. Und oh Wunder: Bei meinem letzten München-Besuch war der Sicherheitsmangel beseitigt!
In ähnlichen Fällen, wo das Linux-Magazin Schwachstellen aufgedeckte hatte, wurden die meist betroffenen Firmen erst nach Einschalten der jeweiligen Presseabteilung tätig – und das nicht immer mit Erfolg [5]. (jk)
|
Infos |
|---|
|
[1] Swisscom Hospitality: [http://www.swisscom.ch/Hospitality/content/HomePage.htm?lang=de] [2] HTTP::Proxy: [http://search.cpan.org/~book/HTTP-Proxy-0.24/lib/HTTP/Proxy.pm] [3] Markus Feilner, “Schlanke Terminalservices mit NX”, Linux-Magazin 10/07, S. 34. [4] Open-VPN-Howto: [http://openvpn.net/index.php/open-source/documentation/howto.html] [5] Tobias Eggendorfer, Jörg Keller, “Webanwendungen manipulieren am Beispiel des Flughafens München”, Linux-Magazin 01/09, S. 100. |
|
Der Autor |
|---|
|
Tobias Eggendorfer ist Professor für angewandte Informatik und IT-Forensik in Hamburg und freiberuflicher IT-Berater mit dem Schwerpunkt Sicherheit. Auf Reisen nervt ihn gerade die branchenweite Abzocke mit überteuerten Hotelinternets. Selbst die leckeren Mini-Weißwürste, die Münchner Hotels zum Frühstück reichen, können seine bairische Seele nicht milde stimmen. |
|
Linux-Magazin Labs |
|---|
|
Sicherheit zu gewährleisten bedeutet, viele Angriffsvektoren auf einmal im Auge zu behalten. Wo es früher ausreichte, eine Liste von Ports einer Firewall zu konfigurieren, ist Security heute komplexer. Besonders Webapplikationen machen dem Admin das Leben schwer: Eine Recherche des Linux-Magazins zeigte, dass die Dokumentationslage einem schwarzen Loch ähnelt. Es gibt keine verlässliche Stelle, die Tipps und Techniken zusammenträgt. Das muss sich ändern! Linux-Magazin Labs sammeln Lesererfahrung zur Web-SecurityDazu stellt das Linux-Magazin unter [http://linux-magazin.de/lab] ein Wiki ins Netz. Jeder Magazin-Leser, Webmaster, Entwickler von Webapplikationen oder Securityspezialist findet dort Tipps: Welche Daten soll ich filtern oder beobachten? Reichen Reverse-Proxys oder Modsecurity aus? Wie verhindere Angriffe mit Netfilter? Was bringen SQL-Firewalls oder Security-Libs für PHP oder Java? Die Redaktion steuert thematisch passende Beiträge aus dem Linux-Magazin bei. Um aus dem Projekt eine Referenz zu machen, bedarf es Ihrer Mithilfe! Kommen Sie doch mal vorbei!  Abbildung 3: Die Linux-magazin Labs sammeln Erfahrungen und Vorschläge von Lesern zur Wensecurity. Von Zeit zu Zeit entstehen daraus Magazinartikel. |
