enrixk
Goto Top

Gästenetzwerk für Jugendclub

Hallo,

ein Jugendclub hat den Jugendlichen in der Vergangenheit das WLAN-Passwort gegeben, wenn sich ein Jugendlicher mit dem Internet verbinden wollten.

In Zukunft will sich der Club gegen Schadensersatzforderungen aus Urheberrechtsverletzungen absichern und auf Anfragen nachweisen könnnen, welche Person, wann mit welcher IP-Adresse online war.

Gibt es hierfür eine fertige Lösung?

Content-ID: 4917447132

Url: https://administrator.de/forum/gaestenetzwerk-fuer-jugendclub-4917447132.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Enrixk
Enrixk 10.12.2022 aktualisiert um 18:21:20 Uhr
Goto Top
Habe diesen Beitrag von @aqui gefunden.

Für mich wäre noch interessant, ob man mit dieser Lösung auch im Nachhinein noch Benutzer entlarven kann, die irgendwo illegal Videos heruntergeladen haben.
lcer00
lcer00 10.12.2022 um 18:24:21 Uhr
Goto Top
Hallo,

so ganz klappt das nicht. Nehmen wir an, jemand möchte wissen, wer am 5.12. um 15:07 die Website Administrator.de aufgerufen hat. Dazu müsste der Jugendclub nachsehen, welche interne IP diese externe Seite aufgerufen hat. Dazu wäre ein komplettes Protokoll aller hergestellten Verbindungen notwendig. Dieser Protokollserver wird je nach vorhaltezeit richtig teuer. Und aushebeln kann man das ganz einfach mit einem VPN. Bei meinem iPhone nennt sich das Private Relay.

2 Ideen: Zunächst kann man zur Vermeidung von Haftungsrisiken das WLAN einfach abschalten.

Oder man deaktiviert IPv4 komplett und geht auf reines IPv6 ohne NAT. Dann muss man nur noch protokollieren, welches Handy welche IP hatte, da diese ja Öffentlich wäre. Dumm nur, dass die Handys ihre IP wechseln können. Daher wäre auch hier eine Zugangsberechtigung einzuführen, z.b. per WPA2/Enterprise oder per Tickets am WLAN-Accesspoint.

Persönlich würde ich das WLAN abschalten. Die Jugend soll sich im Jugendclub doch mit echten Menschen beschäftigen.

Grüße

lcer
MirkoKR
MirkoKR 10.12.2022 um 18:44:04 Uhr
Goto Top
Prinzipell kannst du im WLAN-AP ablesen, welche WLAN-MAC sich wann und wie lange verbunden hat....

In Zusatztools kannst du mitloggen, was diese MAC/IP aufgerufen hat... was aber datenschutzrechtlich diskutiert wird ...

Besser:
Den WLAN Zugriff eingrenzen, sodass z.B. nur htttps erlaubt ist ... ist keine perfekte Absicherung, verhindert aber andere Nutzungen als 443 ...

und wenn http:80 gefragt wird. = Pech gehabt, sollte eh kein Standerd sein ...
Enrixk
Enrixk 10.12.2022 um 18:47:59 Uhr
Goto Top
Vielen Dank erstmal für die Rückmeldungen. Ich kann das WLAN nicht abstellen, weil wir aktuell viele Projekte haben, wo die Jugendlichen im Internet recherchieren müssen. In der Roboter-AG müssen sie auch Zugriff auf externe Bibliotheken haben können.

Kann ein Captives Portal dieses Problem lösen und gibt es sowas als fertige Lösung?
silent-daniel
silent-daniel 10.12.2022 um 18:59:54 Uhr
Goto Top
Fortinet FortiGate 30E / 40F Firewall mit Fortinet FortiGuard Unified Threat Protection (UTP)

Lizenzpaket mit FortiCare Premium Support, Anwendungskontrolle, umfassenden Bedrohungsschutz sowie Webfilter und Antispam für mehr Produktivität im Unternehmen

sowas würde ich reinstellen, der Webfilter richtig eingestellt blockt schon mal >95% raus.
lcer00
lcer00 10.12.2022 um 19:02:56 Uhr
Goto Top
Hallo,
Zitat von @MirkoKR:

Prinzipell kannst du im WLAN-AP ablesen, welche WLAN-MAC sich wann und wie lange verbunden hat....
MAC Adressen sind heute nicht mehr fix. Die ändern sich automatisch oder manuell/absichtlich. Zum zuordnen muss man dann zwingend eine Authentifizierung z.B. über ein Radius-System vorhalten.
In Zusatztools kannst du mitloggen, was diese MAC/IP aufgerufen hat... was aber datenschutzrechtlich diskutiert wird ...
Auch wenn es zulässig wäre, zum Beispiel, weil der Nutzer ausdrücklich zugestimmt hat (und der Landes-Datenschützer einsieht, dass es nicht anders geht), wäre es er in Problem. Man würde auf einem riesigen Haufen personenbezogener Daten sitzen, die dann garantiert-niemals-nie in fremde Hände gelangen dürften.

In der Summe: ein teurer Protokollserver in einem teuren abgesicherten Serverraum/Rechenzentrum. Und das statt der Fitzbox.

Vergesst das! Es wäre besser, das Haftungsrisiko auf anderem Weg zu minimieren. Die Protokollsperren wurden ja schon vorgeschlagen. Man könnte dann noch die Datenrate pro verbundenen Endgerät drosseln, so dass Videos keinen Spaß machen.

Grüße

lcer
Enrixk
Enrixk 10.12.2022 um 19:04:54 Uhr
Goto Top
Kann ein Port 443-Zwang das Problem lösen? Ich kann mir nicht vorstellen wie.
117471
117471 10.12.2022 um 19:41:31 Uhr
Goto Top
Hallo,

Zitat von @Enrixk:

In Zukunft will sich der Club gegen Schadensersatzforderungen aus Urheberrechtsverletzungen absichern und auf Anfragen nachweisen könnnen, welche Person, wann mit welcher IP-Adresse online war.

das ist - rein juristisch - relativ aufwändig. Zum Einen verarbeitest Du personenbezogene Daten, zum Anderen trittst Du als Dienstanbieter im Sinne des Telekommunikationsgesetzes auf und wirst dieses Regelwerk minutiös befolgen: Telekommunikationsgesetz (BmJ)

Die Zuordnung der aufgerufenen Seiten zu den IP-Leases (und somit zu den entsprechenden Nutzern) sehe ich grundsätzlich kritisch (anlasslose Überwachung des Nutzerverhaltens). Dazu gehört meiner Meinung nach auch schon eine entsprechende Protokollierung durch einen Proxyserver.

Ich würde ebenfalls dazu tendieren, alles außer Port 80 / Port 443 dichtzumachen.

Gruß,
Jörg
em-pie
em-pie 10.12.2022 um 19:52:33 Uhr
Goto Top
Moin,

Hast du dich diesbezüglich mal mit freifunk beschäftigt?
keine-ahnung
keine-ahnung 10.12.2022 aktualisiert um 20:02:05 Uhr
Goto Top
@117471

Ich würde ebenfalls dazu tendieren, alles außer Port 80 / Port 443 dichtzumachen

Warum :80 offenlassen - es geht offenbar nur um "Internetrecherche"? Wer da noch Kommunikation via http zulässt ... ist IMHO irgendwie aussen vor?

LG, Thomas
TomTomBon
TomTomBon 10.12.2022 um 23:33:36 Uhr
Goto Top
Moin Moin,

Ich würde @em-pie ´s Vorschlag auch eher nehmen.
https://freifunk.net/worum-geht-es/haufige-fragen/#accordian_item_152
Beschäftigt sich mit dem Punkt.

Danach ist es Graubereich da es ein freies Netzwerk ist.

Ein echter Mitschnitt, wer was wo macht, ist wie schon beschrieben nicht trivial machbar.
Und auch dauerhaft mit höheren Kosten behaftet.

Deswegen wäre auch aus meiner Sicht Freifunk die Alternative.
Vor allem wenn Ihr es nicht nur im Inneren zur Verfügung stellt sondern auch im freien Gelände.
2423392070
2423392070 11.12.2022 um 07:41:36 Uhr
Goto Top
Die Störer - und/oder Mitstörerhaftung ist gesetzlich geregelt und vom BGH ausgeurteilt. Haftungsansprüche gehen den Jugendclub kann man in der Realität effektiv nicht geltend machen.

Du brauchst ein Captive Portal das rechtssicher belehrt und musst für Meldungen von Rechteinhabern erreichbar sein.

Protokollierung ist für Schutzbefohlene im Jugendclub unzulässig und bringt mehr Probleme für den Träger als Lösungen.
Kaffeepause07
Kaffeepause07 11.12.2022 aktualisiert um 10:13:19 Uhr
Goto Top
Hallo,
grundsätzlich kann jede Fritzbox so etwas. Ein Gastnetz erstellen und dann einzelne User einrichten. Zusätzlich gibt es auch noch Jugendschutz Einstellungen. Sicherlich nicht perfekt für eine rechtliche Streitigkeit aber schonmal besser als nichts. Einzelne Seiten sperren sollte auch möglich sein.
Damit verhinderst du zumindest die Weitergabe des wpa Schlüssel an Dritte. Die Zugänge haben dann auch ein Ablaufdatum.

Protokollierung ist da natürlich nicht mit berücksichtigt aber durch die Nutzung von personenbezogenen Gast Zugängen könnte die rechtliche Thematik auch schon gut erfüllt sein.

Grüße
Enrixk
Enrixk 11.12.2022 um 12:10:32 Uhr
Goto Top
Konkret geht es darum, dass eine Person über unser WLAN irgendeine Urheberrechtsverletzung begangen hat, indem sie sich einen Stream angesehen hat. Den genauen Wortlaut der Anwälte kann ich gerade nicht wiedergeben. Habe das Schreiben auch nicht persönlich gesehen. Der Streitwert liegt bei 1000 EUR. Unser Anwalt hat die Forderung als berechtigt eingestuft und macht uns wenig Hoffnung auf Erfolg.

Ich könnte natürlch Port 80 sperren und nur noch 443 erlauben. Allerdings können sich auch dubiöse Streamingdienst-Anbieter ein SSL-Zertifikat besorgen und ihren Service über 443 anbieten. Denn Sinn dieser Maßnahme kann ich in meinem Kontext nicht verstehen. Oder meint ihr, dass man die IP-Adresse nicht sehen kann, weil die Kommunikation über SSL verschlüsselt ist (Täterschutz)?

Ich finde ansonsten die Idee mit dem Captiven Portal auch gut. Was genau braucht man dazu?

-Kleiner Server mit mindestens zwei LAN-Ports als Firewall hinter der Fritzbox
-pfsense
-WLAN-Access-Point
2423392070
2423392070 11.12.2022 um 12:35:34 Uhr
Goto Top
Euren Rechtsbeirat habt ihr nicht zufällig bei Telegram gefunden?

https://www.bmwk.de/Redaktion/DE/Artikel/Service/entwurf-telemediengeset ....

Die bereits erwähnte Fritzbox hat ein CP.
MirkoKR
MirkoKR 11.12.2022 um 12:36:28 Uhr
Goto Top
Sicher, das nur "ein Stream angesehen" wurde? Das gilt allgemein nicht als strafbar.

Wenn aber ein Tool benutzt wurde um via z.B. Torrent einen Film herunterzuladen, wird meist gleichzeitig die heruntergeladenen Fragmente wieder anderen zum Download angeboten - das wiederum ist im allgemeinen strafbar ...

Davor schützt die Port-Eingrenzung auf 443 im allgemeinen, da meist andere Ports genutzt werden ...
2423392070
2423392070 11.12.2022 um 12:40:16 Uhr
Goto Top
Für "strafbar" gibt es aber keine Rechnung vom Anwalt mit Streitwert.
SeaStorm
SeaStorm 11.12.2022 um 18:17:56 Uhr
Goto Top
Nehmt euch einfach aus allem raus und setzt ein Freifunk WLAN auf.
Dann wird zwar euer Internetanschluss genutzt, aber der ganze Traffic geht zu Freifunk und über die ins Internet. Sämtliche Schreiben gehen dann an Freifunk und die sind da bestens drauf vorbereitet.
Einziges Problem ist das ihr dann eine tatsächlich offene Leitung habt. Es kann also jeder damit verbinden.
Habe das so in meinem Verein gemacht. Eine eigene DSL Leitung dafür und gut ist. Läuft seit 3 Jahren wunderbar.

Wenn das nicht gewünscht ist: Eine kleine NG Firewall wie eine Forti nehmen. Damit ein Netz mit Captive Portal aufspannen. Erlaubt wird dann nur 80+443 und die Web\DNS\Content Filter verbieten halt die üblichen Verdächtigen wie Porno, Warez etc etc.
Archeon
Archeon 12.12.2022 um 07:10:35 Uhr
Goto Top
Ich hab das alles hier gerade nur grob überflogen, darf die gewünschte Lösung denn monatlich ein paar Euro kosten?
Dann gibt es eine fertige Lösung, die auch die Haftung übernimmt, wenn etwas passiert.
aqui
aqui 12.12.2022 um 10:11:23 Uhr
Goto Top
Außer der o.a. Lösung mit der pfSense/OPNsense und Einmalpasswörtern gäbe es die auch noch mit Mikrotik Produkten die ebenso eine Captive Portal Funktion mit Einmalpasswörtern an Bord haben:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Viele gute AP Lösungen wie z.B. Ruckus R3xx haben dies Captive Portal Funktion mit Einmalpasswörtern und Admin GUI dafür auch gleich in der Firmware schon an Bord.
Es gibt viele Wege nach Rom....
aqui
aqui 12.12.2022 aktualisiert um 10:14:08 Uhr
Goto Top
Außer der Einmalpasswörtern per SMS gäbe es die auch noch mit Mikrotik Produkten die ebenso eine Captive Portal Funktion mit Einmalpasswörtern an Bord haben:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Viele professionelle AP Lösungen wie z.B. Ruckus R3xx usw. haben diese Captive Portal Funktion mit Einmalpasswörtern und Admin GUI dafür auch gleich in der Firmware schon an Bord.
Es gibt viele Wege nach Rom....
bitnarrator
bitnarrator 12.12.2022 um 10:59:48 Uhr
Goto Top
Für so ein Jugendprojekt würde ich mich an den lokalen Freifunk-Verein wenden. Einen Router von denen aufstellen, anstatt Lizenzgebühren 10-20 € an den Verein.

Und dafür werben...

VG
bitnarrator
Dilbert-MD
Dilbert-MD 12.12.2022 um 14:30:43 Uhr
Goto Top
Hallo,

Eine weiter Möglichkeit wäre noch, beim Provider nachzufragen, ob er einen Public Hotspot anbietet.
Dann läuft der "Free WiFi"-Verkehr über eine separate IP und der Provider stellt den Zugang zur Verfügung.
Das wäre aber mit i.d.R. mit Mehrkosten verbunden.

Gruß
Thomasbandel
Thomasbandel 12.12.2022 um 23:09:27 Uhr
Goto Top
Du sagtest die Jugendlichen benötigen diesen festen Internetanschluss für Projektarbeit. Ich selbst hab private Endgeräte im Jugendclub nie zugelassen. Wir haben einen Raum mit Endgeräten ausgestattet.
Heutzutage kosten Workstation nicht mehr die Welt.

Zum Teil spenden auch Firmen oder auch öffentlich rechtliche TV Anstalten oder auch ISP´s abgeschriebene PC´s. Oft sogar mit Windows und Office Lizenz.

Wir hatten einen AD aufgesetzt.
Jeder Jugendliche hat ein eigenes Servergespeichertes Profil und Kennwort inkl. Druckerberechtigung. Er kann nur soviel drucken wie man ihn zugesteht.

Internet durch einen Filter laufen lassen. Gibts kostenlose im Netz, wo Schlagworte und URLs hinterlegt werden können.

Benutzerprofile so stark einschränken, das nichtmal ein portable Browser genutzt werden kann.

auf allen PCs kommt eine Bildschirmübertragung drauf. Alle Bildschirme werden verkleinert auf einen Bildschirm übertragen, wo man zwar nicht lesen kann was geschrieben wird, aber groß genug um zu erkennen, ob jemand Youporn oder Facebook offen hat.

Alarme von Firewall und Virenscanner gehen prinzipiell an alle angemeldeten PCs per Nachrichtendienst.
"Der Benutzer Max.Mustermann hat von PC2 die Webseite Youporn.com versucht aufzurufen."
Diese Peinlichkeit passiert nur durch einen User und auch nur ein einziges mal.

Es gibt eine Hausordnung. Gut sichtbar an der Wand.
Jeder der einen Benutzernamen haben will, wird belehrt.
Wer damit nicht einverstanden ist, muss seinen eigenen Traffic nehmen.

PC´s werden durch Neustart automatisch zurückgesetzt. Somit umgehst du zu 99,9 % manuellen Aufwand.

Zerschießt ein Kind/Jugendlicher sein Profil, ist der Stress gering.

Ich hab damit nur positive Erfahrungen gemacht. Eltern, Lehrer, Kommune tragen diese Maßnahmen mit.

Klingt hart, hat aber auch Vorteile. Die Kinder wissen, das sie unter Kontrolle sind und kommen erst garnicht auf krumme Ideen. Wir reden aber auch ganz offen darüber, das wir Monitore, Traffic kontrollieren und bei Bedarf die Steuerung übernehmen bzw. ganz schnell mal die Tür aufgeht.

Auf reine Filterlösungen zu setzen wird nach hinten losgehen. Sobald einer ne Lösung gefunden hat deine Kindersicherung zu umgehen, schweigt sich das rum wie ein Lauffeuer. Da hilft nur Abschreckung durch Ehrlichkeit und Konsequenzen. Ich kann mich an nur einen einzigen Fall erinnern, wo ich den Benutzer für mehrere Wochen gesperrt habe. Danach hat er sich mit einem Benutzer von seinem Freund angemeldet. Da gabs ein paar Wochen Hausverbot.

Abschließend noch ein persönlicher Dank an dich, dass du dich in der Jugendarbeit engagierst. Das macht nicht jeder und ich weiß, dass es nicht immer einfach ist.

Und zum Thema Abmahnschreiben. "Wer streunernde Hunde einmal füttert!" Oftmals ist das bloß heiße Luft, solange kein gelber Zettel vom Amtsgericht kommt, würde ich es zu den Akten legen.
bitnarrator
bitnarrator 13.12.2022 aktualisiert um 08:18:25 Uhr
Goto Top
Zitat von @Thomasbandel:

Du sagtest die Jugendlichen benötigen diesen festen Internetanschluss für Projektarbeit. Ich selbst hab private Endgeräte im Jugendclub nie zugelassen. Wir haben einen Raum mit Endgeräten ausgestattet.
Heutzutage kosten Workstation nicht mehr die Welt.

Zum Teil spenden auch Firmen oder auch öffentlich rechtliche TV Anstalten oder auch ISP´s abgeschriebene PC´s. Oft sogar mit Windows und Office Lizenz.

Wir hatten einen AD aufgesetzt.
Jeder Jugendliche hat ein eigenes Servergespeichertes Profil und Kennwort inkl. Druckerberechtigung. Er kann nur soviel drucken wie man ihn zugesteht.

Internet durch einen Filter laufen lassen. Gibts kostenlose im Netz, wo Schlagworte und URLs hinterlegt werden können.

Benutzerprofile so stark einschränken, das nichtmal ein portable Browser genutzt werden kann.

auf allen PCs kommt eine Bildschirmübertragung drauf. Alle Bildschirme werden verkleinert auf einen Bildschirm übertragen, wo man zwar nicht lesen kann was geschrieben wird, aber groß genug um zu erkennen, ob jemand Youporn oder Facebook offen hat.

Alarme von Firewall und Virenscanner gehen prinzipiell an alle angemeldeten PCs per Nachrichtendienst.
"Der Benutzer Max.Mustermann hat von PC2 die Webseite Youporn.com versucht aufzurufen."
Diese Peinlichkeit passiert nur durch einen User und auch nur ein einziges mal.

Es gibt eine Hausordnung. Gut sichtbar an der Wand.
Jeder der einen Benutzernamen haben will, wird belehrt.
Wer damit nicht einverstanden ist, muss seinen eigenen Traffic nehmen.

PC´s werden durch Neustart automatisch zurückgesetzt. Somit umgehst du zu 99,9 % manuellen Aufwand.

Zerschießt ein Kind/Jugendlicher sein Profil, ist der Stress gering.

Ich hab damit nur positive Erfahrungen gemacht. Eltern, Lehrer, Kommune tragen diese Maßnahmen mit.

Klingt hart, hat aber auch Vorteile. Die Kinder wissen, das sie unter Kontrolle sind und kommen erst garnicht auf krumme Ideen. Wir reden aber auch ganz offen darüber, das wir Monitore, Traffic kontrollieren und bei Bedarf die Steuerung übernehmen bzw. ganz schnell mal die Tür aufgeht.

Auf reine Filterlösungen zu setzen wird nach hinten losgehen. Sobald einer ne Lösung gefunden hat deine Kindersicherung zu umgehen, schweigt sich das rum wie ein Lauffeuer. Da hilft nur Abschreckung durch Ehrlichkeit und Konsequenzen. Ich kann mich an nur einen einzigen Fall erinnern, wo ich den Benutzer für mehrere Wochen gesperrt habe. Danach hat er sich mit einem Benutzer von seinem Freund angemeldet. Da gabs ein paar Wochen Hausverbot.

Abschließend noch ein persönlicher Dank an dich, dass du dich in der Jugendarbeit engagierst. Das macht nicht jeder und ich weiß, dass es nicht immer einfach ist.

Und zum Thema Abmahnschreiben. "Wer streunernde Hunde einmal füttert!" Oftmals ist das bloß heiße Luft, solange kein gelber Zettel vom Amtsgericht kommt, würde ich es zu den Akten legen.

Das halte ich für nicht sehr gut. Die Kinder werden ständig unter Kontrolle gehalten, das misfördert die Kreativität und die Selbstentfaltung.

Einige haben auch in 2022 auch keine eingene private Möglichkeit an Internet zu kommen, und da sind solche Jugendclubs auch als "Safe-Space" anzusehen und die Kindern und Jungendlichen die Möglichkeiten zu geben, die Dinge Suchen zu wollen die sie möchten (Missbrauch sollte natürlich trotzdem bestraft werden, aber nicht penibel kontrolliert)

Aber es fördert die Kreativität des Umgehens der Schutzmaßnahmen und es ist ein ewiges Katz-und Mausspiel mit Turnschuhadministration.

Und vorallem die Vorführung gebenüber anderen Kindern fördert Mobbing und Abwertung gegenüber anderen ("Ih, der ist auf ner Schwulenseite" <- weil er sich darüber informieren möchte und zuhause dafür nicht die Möglichkeiten hat)

VG
bitnarrator