27
Hotel - Gast WLAN - Hotspot Aufbau und Sicherheit-Haftung
Hallo zusammen,
ich würde gerne bei einem Bekannten, der ein kleines Hotel (30 Zimmer - 3 Unify APs) besitzt ein Gäste WLAN aufsetzen, möglichst mit Captive Portal, also ganz klassisch.
Aktuell habe ich das schon über eine Linux-Debian-VM mit dem Unify-Controller realisieren können, Hotspot läuft auch soweit. Allerdings fehlen mir noch folgende Infomationen:
1. Funktionieren die FW Regeln korrekt zum isolieren der Clients untereinander? nmap -sP NETZWERK/24 kann noch andere hosts finden, ICMP Pakete scheinen aber deaktiviert. Kann man hier nicht in der Unify-Controller Software deaktivieren, ohne FW regeln auf dem Router/APs zu machen?
2. Sowieso der wichtigste Punkt: Wie sieht es aktuell bzgl der Störerhaftung aus? Alles an ports nach aussen zu blocken bis auf 80,443,(MAIL) ist pflicht, aber in wie wiet ist da aktuell der Hotel-Besitzer haftbar für illegale handlungen der Nutzer? Strategie hier?
3. Rechtlich sollte auch ein ContentFilter drinne sein: Reicht hier ein PI-Hole oder habt ihr da noch bessere Ideen? SquidProxy etc?
4. Captive Portal klappt. Aber unter Unify ist nur Voucher / FB login und Passwort möglich. Gibt es da bessere möglichkeiten wie zB Vorname / Nachname und Email verifikation? um evtl Straftätern es möglichst schwer zu machen.
So das wars erstmal. Vielen Dank für eure Hilfe
ich würde gerne bei einem Bekannten, der ein kleines Hotel (30 Zimmer - 3 Unify APs) besitzt ein Gäste WLAN aufsetzen, möglichst mit Captive Portal, also ganz klassisch.
Aktuell habe ich das schon über eine Linux-Debian-VM mit dem Unify-Controller realisieren können, Hotspot läuft auch soweit. Allerdings fehlen mir noch folgende Infomationen:
1. Funktionieren die FW Regeln korrekt zum isolieren der Clients untereinander? nmap -sP NETZWERK/24 kann noch andere hosts finden, ICMP Pakete scheinen aber deaktiviert. Kann man hier nicht in der Unify-Controller Software deaktivieren, ohne FW regeln auf dem Router/APs zu machen?
2. Sowieso der wichtigste Punkt: Wie sieht es aktuell bzgl der Störerhaftung aus? Alles an ports nach aussen zu blocken bis auf 80,443,(MAIL) ist pflicht, aber in wie wiet ist da aktuell der Hotel-Besitzer haftbar für illegale handlungen der Nutzer? Strategie hier?
3. Rechtlich sollte auch ein ContentFilter drinne sein: Reicht hier ein PI-Hole oder habt ihr da noch bessere Ideen? SquidProxy etc?
4. Captive Portal klappt. Aber unter Unify ist nur Voucher / FB login und Passwort möglich. Gibt es da bessere möglichkeiten wie zB Vorname / Nachname und Email verifikation? um evtl Straftätern es möglichst schwer zu machen.
So das wars erstmal. Vielen Dank für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1392218753
Url: https://administrator.de/forum/hotel-gast-wlan-hotspot-aufbau-und-sicherheit-haftung-1392218753.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
27 Kommentare
Neuester Kommentar
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Noch viel einfacher ist wenn du dir für die Hotellerie bewährte APs beschaffst die ohne Zwangscontroller und mit einem lokalen, in der AP Firmware integriertem Management und Firewall.
Beispiel Ruckus R320 Unleashed oder größer.
Damit hast du dann alles integriert. Musst nur die APs an die Wand schrauben und einrichten, fertig.
Für die Rezeption gibt es im Management ein getrenntes, separates WebGUI indem du für das Captive Portal Einmal Passwörter mit einem simplen Mausklick erstellen kannst die du den Gästen per SMS oder Email automatisch zusenden kannst oder, old School, ausdrucken.
Eine für die Hotellerie ideale und einfache Lösung die mit 30 Minuten Setup Zeit sofort einsatzklar ist.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Noch viel einfacher ist wenn du dir für die Hotellerie bewährte APs beschaffst die ohne Zwangscontroller und mit einem lokalen, in der AP Firmware integriertem Management und Firewall.
Beispiel Ruckus R320 Unleashed oder größer.
Damit hast du dann alles integriert. Musst nur die APs an die Wand schrauben und einrichten, fertig.
Für die Rezeption gibt es im Management ein getrenntes, separates WebGUI indem du für das Captive Portal Einmal Passwörter mit einem simplen Mausklick erstellen kannst die du den Gästen per SMS oder Email automatisch zusenden kannst oder, old School, ausdrucken.
Eine für die Hotellerie ideale und einfache Lösung die mit 30 Minuten Setup Zeit sofort einsatzklar ist.
Warum machste das nicht mit ner USG?! Das wäre doch das konsequenteste!
Mache es nicht zu kompliziert! Das muss auch noch "verwaltbar" sein und Du darfst ja eigentlich nix "loggen", wegen DSGVO. Stelle Dir vor jemand gibt seinen "Voucher" weiter oder 3 jugendliche Gäste holen sich drei Voucher und verteilen die unter sich. Du hast ja nur IP-Adresse und Voucher-Nummer.
Alternativ: Lass Dich bei der entsprechenden Bundesstelle als Wifi-Service-Provider auflisten. Ich habe hier dazu schon mal nen Link veröffentlicht.
https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Untern ...
Oder sich mit Freifunk zusammentun, die haben das Problem schon gefixt.
um evtl Straftätern es möglichst schwer zu machen.
Dachte schon, es ginge um Gäste Mache es nicht zu kompliziert! Das muss auch noch "verwaltbar" sein und Du darfst ja eigentlich nix "loggen", wegen DSGVO. Stelle Dir vor jemand gibt seinen "Voucher" weiter oder 3 jugendliche Gäste holen sich drei Voucher und verteilen die unter sich. Du hast ja nur IP-Adresse und Voucher-Nummer.
Alternativ: Lass Dich bei der entsprechenden Bundesstelle als Wifi-Service-Provider auflisten. Ich habe hier dazu schon mal nen Link veröffentlicht.
https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Untern ...
Oder sich mit Freifunk zusammentun, die haben das Problem schon gefixt.
Du hast ja nur IP-Adresse und Voucher-Nummer.
Nope ! Viel wichtiger ist die Mac Adresse des Endgerätes die er hat, denn die ist strafrechtlich relvant weil sie das Gerät des möglichen Täters eindeutig identifiziert. Diese loggt ein CP Prinzip bedingt immer mit.Außerdem stellt man logischerweise die Einmal Voucher immer so ein das nur ein singulärer Login pro User möglich ist.
Zitat von @aqui:
Außerdem stellt man logischerweise die Einmal Voucher immer so ein das nur ein singulärer Login pro User möglich ist.
Du hast ja nur IP-Adresse und Voucher-Nummer.
Nope ! Viel wichtiger ist die Mac Adresse des Endgerätes die er hat, denn die ist strafrechtlich relvant weil sie das Gerät des möglichen Täters eindeutig identifiziert. Diese loggt ein CP Prinzip bedingt immer mit.Außerdem stellt man logischerweise die Einmal Voucher immer so ein das nur ein singulärer Login pro User möglich ist.
Genau - logischerweise. D.h. fürs iPad, den Rechner und iPhone getrennte Voucher und maximal einen Tag gültig, damit es ja keine Überschneidungen gibt und das Wifi für die Gäste maximal unpraktisch ist. So kann ich das Risiko eines Missbrauchs natürlich auch minimieren
Dann stellt sich nur die Frage, wie ich im 3 Monate später die MacAdresse dem Eigentümer zuordne. Und wenn ich das kann ... mit welchem Recht ich die Daten erfasse und so lange aufbewahre.
Ach ich weiß: Jeden Voucher unterschreiben lassen, kopieren, abheften und beim ersten login (natürlich bei Ausgabe vor dem Mitarbeiter) die Mac-Adresse dokumentieren!
PS: Ein Kunde von mir hat seit 6 Jahren ein zentrales Gäste-Wifi-Passwort ohne Voucher und genau einmal gab es ein solch anwaltliches Schreiben, dass mit Verweis auf 3 potenzielle (ausländische) Gäste im Sande verlief.
Vermutlich gibts für bzw. gegen sowas mittlerweile sogar ne Versicherung ...
Hallo,
zu 2. und 3. kann ich sorglosinternet.de empfehlen. Kostet pro Monat/Jahr etwas Geld und Du bekommst einen Router, der die Clients per DHCP mit Daten versorgt und den gesammten Traffic durch einen VPN-Tunnel zum Anbieter leitet. Dort sind dann noch Optionen wie Jugenschutz buchbar.
vG
LS
zu 2. und 3. kann ich sorglosinternet.de empfehlen. Kostet pro Monat/Jahr etwas Geld und Du bekommst einen Router, der die Clients per DHCP mit Daten versorgt und den gesammten Traffic durch einen VPN-Tunnel zum Anbieter leitet. Dort sind dann noch Optionen wie Jugenschutz buchbar.
vG
LS
1
Zitat von @aqui:
Außerdem stellt man logischerweise die Einmal Voucher immer so ein das nur ein singulärer Login pro User möglich ist.
Außerdem stellt man logischerweise die Einmal Voucher immer so ein das nur ein singulärer Login pro User möglich ist.
Na in dem Hotel wäre ich aber das letzte mal Gast, in allen Hotels in denen ich bisher war ist die Anzahl >= 5. Schließlich können ja ein paar mehr Menschen/Geräte in einem einzelnen Hotelzimmer sein.
Zitat von @aif-get:
2. Sowieso der wichtigste Punkt: Wie sieht es aktuell bzgl der Störerhaftung aus? Alles an ports nach aussen zu blocken bis auf 80,443,(MAIL) ist pflicht, aber in wie wiet ist da aktuell der Hotel-Besitzer haftbar für illegale handlungen der Nutzer?
2. Sowieso der wichtigste Punkt: Wie sieht es aktuell bzgl der Störerhaftung aus? Alles an ports nach aussen zu blocken bis auf 80,443,(MAIL) ist pflicht, aber in wie wiet ist da aktuell der Hotel-Besitzer haftbar für illegale handlungen der Nutzer?
Als Gast würde ich mich da verarscht fühlen, wenn meine Kommunikation nach außen blockiert würde und der Rezeptionist würde von mir mal eingenordet, wenn ssh o.ä auf nicht-Standard-Ports nicht ginge.
Prinzipiell ist der Hotelbesitzer für Handungen die andere begehen nicht haftbar.. Es gilt höchstens die Störerhaftung, wenn er nachlässig war.
3. Rechtlich sollte auch ein ContentFilter drinne sein: Reicht hier ein PI-Hole oder habt ihr da noch bessere Ideen? SquidProxy etc?
Auch ein Contentfilter ist per se nicht vorgeschrieben.
4. Captive Portal klappt. Aber unter Unify ist nur Voucher / FB login und Passwort möglich. Gibt es da bessere möglichkeiten wie zB Vorname / Nachname und Email verifikation? um evtl Straftätern es möglichst schwer zu machen.
Was soll das bringen? Willst Du die Gäste ärgern?
lks
Zitat von @Th0mKa:
Na in dem Hotel wäre ich aber das letzte mal Gast, in allen Hotels in denen ich bisher war ist die Anzahl >= 5. Schließlich können ja ein paar mehr Menschen/Geräte in einem einzelnen Hotelzimmer sein.
Na in dem Hotel wäre ich aber das letzte mal Gast, in allen Hotels in denen ich bisher war ist die Anzahl >= 5. Schließlich können ja ein paar mehr Menschen/Geräte in einem einzelnen Hotelzimmer sein.
Ich habe i.d.R mindestens drei WLAN-fähige Geräte immer dabei. Und wenn meine herzallerliebste dabei ist, hat die auch mindestens zwei Geräte. Da müßte sich der Rezeptionist schon was anhören, wenn man für jedes Gerät ein eigenes Voucher abtippen müßte und das vielleicht sogar jeden Tag.
Schließt Euch den Freifunkern an und die Probleme sind "gelöst".
lks
Zitat von @Lochkartenstanzer:
Als Gast würde ich mich da verarscht fühlen, wenn meine Kommunikation nach außen blockiert würde und der Rezeptionist würde von mir mal eingenordet, wenn ssh o.ä auf nicht-Standard-Ports nicht ginge.
Wenn jemand das technische Know How hat, unbdeingt SSH nutzen zu müssen kann er auch einfach über Port 443 Tunneln, bzw nen openVPN laufen lassen. Aber nungut ich meine mit den Ports oben, dass es schon auf ein minimum reduziert sein sollte um P2P Tauschbörsen etc grob auszuschließen ;)Als Gast würde ich mich da verarscht fühlen, wenn meine Kommunikation nach außen blockiert würde und der Rezeptionist würde von mir mal eingenordet, wenn ssh o.ä auf nicht-Standard-Ports nicht ginge.
Prinzipiell ist der Hotelbesitzer für Handungen die andere begehen nicht haftbar.. Es gilt höchstens die Störerhaftung, wenn er nachlässig war.
Und doch ist er erstmal in der Beweispflicht? oder gibt es da unterschiede wenn der DSL Anschluss Geschäflich unter: Hotel XY registriert ist?3. Rechtlich sollte auch ein ContentFilter drinne sein: Reicht hier ein PI-Hole oder habt ihr da noch bessere Ideen? SquidProxy etc?
Auch ein Contentfilter ist per se nicht vorgeschrieben.
Ist doch ganz einfach: Du musst dich halt auch ein wenig Entscheiden wieviel Risiko du eingehen willst und wieviel Komfort du den Gästen geben willst. Im Normalfall gibts ja auch nen Gast-Management System - bei dem kann man z.B. das Captive Portal anbinden und eine Anmeldung per PIN machen.
Dasselbe ist für den Datenverkehr: Klar kannst du alles ausser 80/443 sperren. Und schon bist du ganz schnell die Geschäftskunden los. Denn wenn ich z.B. kein VPN aufbauen kann ist das Hotel sofort auf der schwarzen Liste - da man ja eben auch ggf. Abends noch eben etwas Arbeiten will/muss. Genauso verhält es sich auch mit Tor-Netzwerken usw. - hier musst du überlegen ob du das zulassen willst oder ob du das blocken willst, oder was ist mit Bittorrent usw. (was ja theoretisch auch legal genutzt werden kann)... Und dazu kommt: Je mehr du einschränkst umso mehr werden die Gäste vor der Rezi stehen und/oder beim nächsten Besuch nen anderes Hotel wählen. Wenn du z.B. ein Hotel in der nähe eines Flughafens hast dann willst du aber vermutlich nicht das Airline-Crew unzufrieden ist weil die natürlich riesige Kontingente kaufen. Bist du irgendwo das reine Touri-Hotel is es dir dagegen ggf. sogar egal ob die wiederkommen (was generell ne blöde Idee wäre weil natürlich auch da auf Bewertungsportalen u. Reisebüros geguckt werden sollte).
Von daher kann man natürlich hier die grosse Security-Keule schwingen: Ein Gerät pro Tag pro Voucher... und nach nen paar Monaten dümmstenfalls das ganze einstampfen weil ohne Gäste auch keine Voucher nötig sind. Und KEINEN Gast wird es interessieren wenn man sagt "is wegen Haftung", solang es für den unbequem ist wird das immer negativ auffallen. Insbesondere wenn der dann mal mitten in nem Video-Call rausgeworfen wird weil die 24h grad abgelaufen sind o.ae....
Dasselbe ist für den Datenverkehr: Klar kannst du alles ausser 80/443 sperren. Und schon bist du ganz schnell die Geschäftskunden los. Denn wenn ich z.B. kein VPN aufbauen kann ist das Hotel sofort auf der schwarzen Liste - da man ja eben auch ggf. Abends noch eben etwas Arbeiten will/muss. Genauso verhält es sich auch mit Tor-Netzwerken usw. - hier musst du überlegen ob du das zulassen willst oder ob du das blocken willst, oder was ist mit Bittorrent usw. (was ja theoretisch auch legal genutzt werden kann)... Und dazu kommt: Je mehr du einschränkst umso mehr werden die Gäste vor der Rezi stehen und/oder beim nächsten Besuch nen anderes Hotel wählen. Wenn du z.B. ein Hotel in der nähe eines Flughafens hast dann willst du aber vermutlich nicht das Airline-Crew unzufrieden ist weil die natürlich riesige Kontingente kaufen. Bist du irgendwo das reine Touri-Hotel is es dir dagegen ggf. sogar egal ob die wiederkommen (was generell ne blöde Idee wäre weil natürlich auch da auf Bewertungsportalen u. Reisebüros geguckt werden sollte).
Von daher kann man natürlich hier die grosse Security-Keule schwingen: Ein Gerät pro Tag pro Voucher... und nach nen paar Monaten dümmstenfalls das ganze einstampfen weil ohne Gäste auch keine Voucher nötig sind. Und KEINEN Gast wird es interessieren wenn man sagt "is wegen Haftung", solang es für den unbequem ist wird das immer negativ auffallen. Insbesondere wenn der dann mal mitten in nem Video-Call rausgeworfen wird weil die 24h grad abgelaufen sind o.ae....
Zitat von @maretz:
Ist doch ganz einfach: Du musst dich halt auch ein wenig Entscheiden wieviel Risiko du eingehen willst und wieviel Komfort du den Gästen geben willst. Im Normalfall gibts ja auch nen Gast-Management System - bei dem kann man z.B. das Captive Portal anbinden und eine Anmeldung per PIN machen.
Dasselbe ist für den Datenverkehr: Klar kannst du alles ausser 80/443 sperren. Und schon bist du ganz schnell die Geschäftskunden los. Denn wenn ich z.B. kein VPN aufbauen kann ist das Hotel sofort auf der schwarzen Liste - da man ja eben auch ggf. Abends noch eben etwas Arbeiten will/muss. Genauso verhält es sich auch mit Tor-Netzwerken usw. - hier musst du überlegen ob du das zulassen willst oder ob du das blocken willst, oder was ist mit Bittorrent usw. (was ja theoretisch auch legal genutzt werden kann)... Und dazu kommt: Je mehr du einschränkst umso mehr werden die Gäste vor der Rezi stehen und/oder beim nächsten Besuch nen anderes Hotel wählen. Wenn du z.B. ein Hotel in der nähe eines Flughafens hast dann willst du aber vermutlich nicht das Airline-Crew unzufrieden ist weil die natürlich riesige Kontingente kaufen. Bist du irgendwo das reine Touri-Hotel is es dir dagegen ggf. sogar egal ob die wiederkommen (was generell ne blöde Idee wäre weil natürlich auch da auf Bewertungsportalen u. Reisebüros geguckt werden sollte).
Von daher kann man natürlich hier die grosse Security-Keule schwingen: Ein Gerät pro Tag pro Voucher... und nach nen paar Monaten dümmstenfalls das ganze einstampfen weil ohne Gäste auch keine Voucher nötig sind. Und KEINEN Gast wird es interessieren wenn man sagt "is wegen Haftung", solang es für den unbequem ist wird das immer negativ auffallen. Insbesondere wenn der dann mal mitten in nem Video-Call rausgeworfen wird weil die 24h grad abgelaufen sind o.ae....
Ist doch ganz einfach: Du musst dich halt auch ein wenig Entscheiden wieviel Risiko du eingehen willst und wieviel Komfort du den Gästen geben willst. Im Normalfall gibts ja auch nen Gast-Management System - bei dem kann man z.B. das Captive Portal anbinden und eine Anmeldung per PIN machen.
Dasselbe ist für den Datenverkehr: Klar kannst du alles ausser 80/443 sperren. Und schon bist du ganz schnell die Geschäftskunden los. Denn wenn ich z.B. kein VPN aufbauen kann ist das Hotel sofort auf der schwarzen Liste - da man ja eben auch ggf. Abends noch eben etwas Arbeiten will/muss. Genauso verhält es sich auch mit Tor-Netzwerken usw. - hier musst du überlegen ob du das zulassen willst oder ob du das blocken willst, oder was ist mit Bittorrent usw. (was ja theoretisch auch legal genutzt werden kann)... Und dazu kommt: Je mehr du einschränkst umso mehr werden die Gäste vor der Rezi stehen und/oder beim nächsten Besuch nen anderes Hotel wählen. Wenn du z.B. ein Hotel in der nähe eines Flughafens hast dann willst du aber vermutlich nicht das Airline-Crew unzufrieden ist weil die natürlich riesige Kontingente kaufen. Bist du irgendwo das reine Touri-Hotel is es dir dagegen ggf. sogar egal ob die wiederkommen (was generell ne blöde Idee wäre weil natürlich auch da auf Bewertungsportalen u. Reisebüros geguckt werden sollte).
Von daher kann man natürlich hier die grosse Security-Keule schwingen: Ein Gerät pro Tag pro Voucher... und nach nen paar Monaten dümmstenfalls das ganze einstampfen weil ohne Gäste auch keine Voucher nötig sind. Und KEINEN Gast wird es interessieren wenn man sagt "is wegen Haftung", solang es für den unbequem ist wird das immer negativ auffallen. Insbesondere wenn der dann mal mitten in nem Video-Call rausgeworfen wird weil die 24h grad abgelaufen sind o.ae....
Das ist natürlich nen vollkommen korrekter Einwand, da es sich hier tatsächlich zum Großteil um Stammgäste und Geschäftskunden handelt, da gebe ich dir vollkommen Recht.
Doch dann frage ich mich in wieweit man im Ernstfall wirklich haftbar ist? Hier wurden im Thread oft Aussagen wie: "Da ist man als Hotelbesitzer sicher" gemacht.
Gibt es hier denn dann mit deiner Aussage zum Gastkomfort und Rechtssicherheit ne goldene Schnittmenge?
Jetzt mach dich mal nicht verrückt, was das Thema angeht. Ich betreibe seit etlichen Jahren an zig Standorten ein offenes WLAN für unsere Kunden. Zeitweise waren es über 80 Standorte mit insgesamt 220 Access Points. Stand heute verbinden sich täglich etwa 2000 Geräte mit dem Netzwerk.
Wir betreiben zwar eine Filterung, die aber nur bedingt greift, weil ich TLS-Verbindungen nicht aufbrechen kann und will. Gefiltert werden auch nur die Kategorien Kinderpornografie und Terrorismus. Nötig ist es aber nicht.
Seit ein paar Jahren ist es nicht mehr nötig, bei einem offenen WLAN irgendwas zu machen. Sollte irgendwas unrechtmäßiges über deinen Anschluss passieren, muss man nur angeben, dass man ein offenes WLAN betreibt (und natürlich wirklich betreiben). Damit sind die meisten Anfragen schon hinfällig. In deinem Fall scheinst du das ganze ja an einem normalen Endkundeninternetanschluss zu betreiben, sprich wenn jemand an dich rantreten möchte, muss er erstmal deinen Provider davon überzeugen, aktiv zu werden. Das kann aber auch nicht jeder, sondern nur eine Ermittlungsbehörde mit einem richterlichen Beschluss, wofür man schon etwas mehr als einen Film herunterladen muss.
Bei mir ist es so, dass ich das ganze aus einem Rechenzentrum betreibe und meine Kontaktdaten offen als administrativer Kontakt für die IP-Adressen in der Datenbank des RIPE NCC stehen. Also bei meinem WLAN wäre kein richterlicher Beschluss nötig, um mich mit sowas zu nerven.
Sollte es dennoch soweit kommen, dass du aufgrund einer Verfehlung eines Kunden kontaktiert wirst, ist die maximal vorgesehene "Strafe", dass du einzelne Filter einrichten musst, also einen Port, eine IP oder so, also die einfachste Art an Filtern. Keine DPI, keine TLS-Interception. Aber du musst nichts vorab filtern, sondern erst, wenn du offiziell dazu aufgefordert wirst und selbst dann hast du noch Zeit zur Umsetzung.
In den ganzen Jahren, in denen ich das Netz schon betreibe (ich habe schon ein paar Monate vor der Gesetzesänderung begonnen), gab es genau null Anforderungen aufgrund einer missbräuchlichen Nutzung meines WLANs, kein Informationsersuchen, keine Sperraufforderung oder so. Die einzige Anfrage einer Ermittlungsbehörde kam von der Bundespolizei, ohne richterlichen Beschluss, und war nur die Anfrage, an welchem Standort sich eine MAC-Adresse mit unserem WLAN verbunden hat. Die Anfrage kam aber auch aus einer Abteilung, die sich nicht mit Urheberrechtsverstößen beschäftigt. Die kümmern sich um andere Kaliber. Dennoch war mein Kontakt bei der BPol sehr freundlich und angenehm. Der Arbeitskollege, der den Anruf angenommen hat, war dagegen sehr unentspannt.
Alles in allem ist der Netzbetrieb für ein offenes WLAN "langweilig". Ja, man sollte sich auf bestimmte Sachen vorbereiten (Aufzeichnen von MAC-Adressen und deren Verbindungszeiten, Vorbereitung für einfachste Filter), aber man muss nicht aktiv in die Kommunikation eingreifen.
PS: Das Gastgewerbe hatte schon vor der Gesetzesänderung einen Sonderstatus. Hier wurde schon vorher das Providerprivileg angewandt.
Wir betreiben zwar eine Filterung, die aber nur bedingt greift, weil ich TLS-Verbindungen nicht aufbrechen kann und will. Gefiltert werden auch nur die Kategorien Kinderpornografie und Terrorismus. Nötig ist es aber nicht.
Seit ein paar Jahren ist es nicht mehr nötig, bei einem offenen WLAN irgendwas zu machen. Sollte irgendwas unrechtmäßiges über deinen Anschluss passieren, muss man nur angeben, dass man ein offenes WLAN betreibt (und natürlich wirklich betreiben). Damit sind die meisten Anfragen schon hinfällig. In deinem Fall scheinst du das ganze ja an einem normalen Endkundeninternetanschluss zu betreiben, sprich wenn jemand an dich rantreten möchte, muss er erstmal deinen Provider davon überzeugen, aktiv zu werden. Das kann aber auch nicht jeder, sondern nur eine Ermittlungsbehörde mit einem richterlichen Beschluss, wofür man schon etwas mehr als einen Film herunterladen muss.
Bei mir ist es so, dass ich das ganze aus einem Rechenzentrum betreibe und meine Kontaktdaten offen als administrativer Kontakt für die IP-Adressen in der Datenbank des RIPE NCC stehen. Also bei meinem WLAN wäre kein richterlicher Beschluss nötig, um mich mit sowas zu nerven.
Sollte es dennoch soweit kommen, dass du aufgrund einer Verfehlung eines Kunden kontaktiert wirst, ist die maximal vorgesehene "Strafe", dass du einzelne Filter einrichten musst, also einen Port, eine IP oder so, also die einfachste Art an Filtern. Keine DPI, keine TLS-Interception. Aber du musst nichts vorab filtern, sondern erst, wenn du offiziell dazu aufgefordert wirst und selbst dann hast du noch Zeit zur Umsetzung.
In den ganzen Jahren, in denen ich das Netz schon betreibe (ich habe schon ein paar Monate vor der Gesetzesänderung begonnen), gab es genau null Anforderungen aufgrund einer missbräuchlichen Nutzung meines WLANs, kein Informationsersuchen, keine Sperraufforderung oder so. Die einzige Anfrage einer Ermittlungsbehörde kam von der Bundespolizei, ohne richterlichen Beschluss, und war nur die Anfrage, an welchem Standort sich eine MAC-Adresse mit unserem WLAN verbunden hat. Die Anfrage kam aber auch aus einer Abteilung, die sich nicht mit Urheberrechtsverstößen beschäftigt. Die kümmern sich um andere Kaliber. Dennoch war mein Kontakt bei der BPol sehr freundlich und angenehm. Der Arbeitskollege, der den Anruf angenommen hat, war dagegen sehr unentspannt.
Alles in allem ist der Netzbetrieb für ein offenes WLAN "langweilig". Ja, man sollte sich auf bestimmte Sachen vorbereiten (Aufzeichnen von MAC-Adressen und deren Verbindungszeiten, Vorbereitung für einfachste Filter), aber man muss nicht aktiv in die Kommunikation eingreifen.
PS: Das Gastgewerbe hatte schon vor der Gesetzesänderung einen Sonderstatus. Hier wurde schon vorher das Providerprivileg angewandt.
1
Moin,
Mal eine „blöde“ Randbemerkung:
Was bringt mir das Protokollieren der MAC, wenn Apple beispielsweise am iPhone für jedes Wifi eine andere MAC verwendet, die obendrein sich vermutlich Suchmaschinen ändern wird, anschließend sage „dieses Netzwerk ignorieren“.
Aus meiner Sicht bringt mir das dann gar nichts, weil schon 1h später die MAC keinem zugeordnet werden kann.
Oder übersehe ich etwas?
Gruß
em-pie
Mal eine „blöde“ Randbemerkung:
Was bringt mir das Protokollieren der MAC, wenn Apple beispielsweise am iPhone für jedes Wifi eine andere MAC verwendet, die obendrein sich vermutlich Suchmaschinen ändern wird, anschließend sage „dieses Netzwerk ignorieren“.
Aus meiner Sicht bringt mir das dann gar nichts, weil schon 1h später die MAC keinem zugeordnet werden kann.
Oder übersehe ich etwas?
Gruß
em-pie
Du kannst den Behörden sagen, daß Du Deine Pflicht getan hast.
lks
Ja, tust du, §113b (3) TKG
(3) Die Erbringer öffentlich zugänglicher Internetzugangsdienste speichern
1. die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse,
2. eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt, sowie eine zugewiesene Benutzerkennung,
3. Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse unter Angabe der zugrunde liegenden Zeitzone.
1. die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse,
2. eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt, sowie eine zugewiesene Benutzerkennung,
3. Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse unter Angabe der zugrunde liegenden Zeitzone.
In meinem Fall ziehe ich diese Informationen direkt von den APs. Die sehen die MAC-Adresse, LANCOM-APs können ebenso die IPv4- und IPv6-Adressen herausfinden (alternativ den DHCP mitloggen lassen) und durch die Assoc- und Deassoc-Zeiten habe ich damit die Anforderung erfüllt. Wurde aber, wie gesagt, noch nie angefragt.
In wie weit §113b (3) TKG für Betreiber öffentlicher WLANs überhaupt anwendbar ist oder ob es da Ausnahmen gibt, kann nur ein Fachanwalt bewerten. Für mich ist das Logging kein Problem. Nur muss man auch ans BDSG denken.
PS: Ganz wichtig ist §113b (5) TKG, weil viele bis heute das Thema Vorratsdatenspeicherung bis heute nicht verstanden haben:
(5) Der Inhalt der Kommunikation, Daten über aufgerufene Internetseiten und Daten von Diensten der elektronischen Post dürfen auf Grund dieser Vorschrift nicht gespeichert werden.
@tikayevent
Mal fernab der Gesetzeslage:
MAx Müller der BöhseBuben AG bucht sich mit deinem iPhone im Hotel ein. Dann weiß ich, als Hotelbetreiber, zwar, dass sich jemand mit der MAC und der IP eingeloggt hat. Aber wie will ich nachweisen, dass diese MAC der Hrn. Müller gehört. Er hat ja eine „dynamische“ MAC verwendet!?
Das kann ich ja nur, wenn ich die ID des Vouchers mit Hrn. Müller verkette…
Wenn der aber gar kein Gast bei mir ist, oder der vermeidliche Freund der Lisa Meyer ist, welche bei der absolut Seriös GmbH arbeitet…
(Wobei ich das Peoblem ja immer hab)
Dem Gesetzgeber reicht es zwar, dass ich MAC+ IP speichere. Aber völlig Sinnbefreit ist es in jedem Fall…
Mal fernab der Gesetzeslage:
MAx Müller der BöhseBuben AG bucht sich mit deinem iPhone im Hotel ein. Dann weiß ich, als Hotelbetreiber, zwar, dass sich jemand mit der MAC und der IP eingeloggt hat. Aber wie will ich nachweisen, dass diese MAC der Hrn. Müller gehört. Er hat ja eine „dynamische“ MAC verwendet!?
Das kann ich ja nur, wenn ich die ID des Vouchers mit Hrn. Müller verkette…
Wenn der aber gar kein Gast bei mir ist, oder der vermeidliche Freund der Lisa Meyer ist, welche bei der absolut Seriös GmbH arbeitet…
(Wobei ich das Peoblem ja immer hab)
Dem Gesetzgeber reicht es zwar, dass ich MAC+ IP speichere. Aber völlig Sinnbefreit ist es in jedem Fall…
@em-pie
Selbst wenn die MAC nicht dynamisch wäre, könntest du es nicht zuordnen. MAC-Adressen sollen weltweit einmalig sein, sind es aber nicht und sind nicht manipulationsgeschützt. Aber das ist auch nicht gefragt.
Das TKG basiert ja grundlegend erstmal auf der Telefonie, aber auch hier wäre es so. Es gibt den Benutzer und den Anschlussinhaber. Das können unterschiedliche Personen sein. Bestes Beispiel die Telefonzellen: Sie gehören der Telekom, aber benutzt werden die von jemand anderem. Dennoch muss die Telekom nicht nachhalten, wer den Anschluss verwendet hat und wird dafür auch nicht zur Dokumentation verpflichtet.
Das Gesetz ist auf kommerzielle Provider ausgelegt, aber WLAN-Betreiber sind ja den kommerziellen Provider mittlerweile gleichgestellt, sprich nicht haftbar für das Verhalten von Anschlussnutzern, aber dafür vermutlich auch dokupflichtig. Wie gesagt, kann nur ein Fachanwalt genau sagen. Deutsche Gesetze sind nicht immer für alle Fälle sinnvoll.
Selbst wenn die MAC nicht dynamisch wäre, könntest du es nicht zuordnen. MAC-Adressen sollen weltweit einmalig sein, sind es aber nicht und sind nicht manipulationsgeschützt. Aber das ist auch nicht gefragt.
Das TKG basiert ja grundlegend erstmal auf der Telefonie, aber auch hier wäre es so. Es gibt den Benutzer und den Anschlussinhaber. Das können unterschiedliche Personen sein. Bestes Beispiel die Telefonzellen: Sie gehören der Telekom, aber benutzt werden die von jemand anderem. Dennoch muss die Telekom nicht nachhalten, wer den Anschluss verwendet hat und wird dafür auch nicht zur Dokumentation verpflichtet.
Das Gesetz ist auf kommerzielle Provider ausgelegt, aber WLAN-Betreiber sind ja den kommerziellen Provider mittlerweile gleichgestellt, sprich nicht haftbar für das Verhalten von Anschlussnutzern, aber dafür vermutlich auch dokupflichtig. Wie gesagt, kann nur ein Fachanwalt genau sagen. Deutsche Gesetze sind nicht immer für alle Fälle sinnvoll.
Zitat von @tikayevent:
Das Gesetz ist auf kommerzielle Provider ausgelegt, aber WLAN-Betreiber sind ja den kommerziellen Provider mittlerweile gleichgestellt, sprich nicht haftbar für das Verhalten von Anschlussnutzern, aber dafür vermutlich auch dokupflichtig. Wie gesagt, kann nur ein Fachanwalt genau sagen. Deutsche Gesetze sind nicht immer für alle Fälle sinnvoll.
Das Gesetz ist auf kommerzielle Provider ausgelegt, aber WLAN-Betreiber sind ja den kommerziellen Provider mittlerweile gleichgestellt, sprich nicht haftbar für das Verhalten von Anschlussnutzern, aber dafür vermutlich auch dokupflichtig. Wie gesagt, kann nur ein Fachanwalt genau sagen. Deutsche Gesetze sind nicht immer für alle Fälle sinnvoll.
Das waren sie ja noch nie ;) Weshalb es ja genau in dem Fall eines kleinen Hotels wichtig sein sollte abgesichert zu sein. Das neue DSGVO machts dann nochmal schwerer.. Hoffe, dass hier ein OptIn durch das Captiveportal das ganze etwas abdeckt?
Komme zum technischen Fazit:
- FW Reglen zum blocken von Portsranges >= 1024
- Client Isolation
- DNS Server mit Blacklisting einsetzten und auf Netzwerk erzwingen
Das sollte mindestens das gröbste aussondern, um in der Bringschuld des TSG-Paragraphen zu sein, hoffe ich.
FW Reglen zum blocken von Portsranges >= 1024
Bloß nicht, in keinem Fall und niemals. Da kannst du direkt den Betrieb sein lassen. Wichtige Ports in dem Bereich: UDP/1194 OpenVPN und UDP/4500 IPSec NAT-T. Da gibt es aber noch viel mehr, insbesondere, weil öffentliche IPv4-Adressen knapp sind und es immer häufiger wird, dass selbst professionelle Anbieter multiplexen müssen.
Client Isolation ja, aber dass ist kein rechtliches Problem, sondern gehört zum guten Ton.
DNS Server mit Blacklisting einsetzten und auf Netzwerk erzwingen
Nicht notwendig, solange es keine Aufforderung dazu gibt. Kommerzielle Provider müssen auch nicht aktiv irgendwas sperren, außer es gibt eine Anweisung dafür. Diese werden auch nur für Einzelfälle ausgesprochen (also ein Provider bekommt die Aufforderung eine oder wenige Adressen zu sperren. Für jeden Provider muss man gesondert vor Gericht ziehen)Wie gesagt, dokumentiere einfach nach §113b (3) und gut ist.
Hier heisst es:
3. Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll Adresse unter Angabe der zugrunde liegenden Zeitzone.
Mir ist nicht bekannt dass der Uniti Controller dies protokollieren könnte, gibt es da vllt auch bessere Software, die eher für Hotels geeignet ist? Vllt mit einer Angabe von Zimmernummer und API zur Hotelsoftware?
Gott, watt nen Zirkus!
Anlasslose Vorratsdatenspeicherung ist mW. vor jedem Gericht inkl. EUGH geplatzt. Nicht das mal jemand Dich verklagt, weil Du diese unrechtmäßig erhebst! Wie gesagt, u.a. die DSGVO, Fernmeldegeheimnis, Grundgesetz, ... steht dem entgegen. Aber was ist das schon gegen nen Innenminister mit Parlamentsmehrheit ... 😏
https://www.lancom-systems.de/download/documentation/Whitepaper/LANCOM_R ...
Zitat:
e) Vorratsdatenspeicherung:
Der Bundestag hat am 16.10.2015 das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten („Vorratsdatenspeicherung“) verabschiedet. Er stellt darin klar, dass Hotspot-Anbieter, wie Cafés etc., nicht zur Vorratsdatenspeicherung verpflichtet sind. Die entsprechenden Passagen finden sich in Artikel 2, Änderungen des Tele- kommunikationsgesetzes. In den Erläuterungen zum Gesetzestext heißt es wörtlich:
Zu § 113a TKG-E: Die Vorschrift beschreibt den Kreis der zur Speicherung Verpflichteten. Nach Absatz 1 Satz 1 richten sich die Speicherpflichten an diejenigen, die öffentlich zugängliche Telekommunikationsdienste im Sinne von § 3 Nr. 6 a) TKG erbringen, also nicht an diejenigen, die lediglich daran mitwirken. Erbringer zeichnen sich dadurch aus, dass den Kunden regelmäßig ein eigener, in der Regel auf unbestimmte Dauer angelegter Telekommunikationsanschluss zur selbstständigen Verwendung überlassen wird. Nicht verpflichtet sind demnach Anbieter, die ihren Kunden nur eine kurzzeitige Nutzung des Telekommunikationsanschlusses ermöglichen, zum Beispiel Betreiber von Hotels, Restaurants und Cafés, die ihren Kunden eine Telefon- oder Internetnutzung zur Verfügung stellen (zur näheren Bestimmung des Begriffs des „Erbringens“ vergleiche die Mitteilung Nr. 149/2015 - 43 - im Amtsblatt der Bundesnetzagentur).
https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Tel ...
Aber warum sich an solchen Veröffentlichungen orientieren, wo man doch anonyme "IT-Fuzzies" in nem Internetforum zu juristischen Themen befragen kann. Juristen sind für das Thema ja völlig überbewertet! 😂
Anlasslose Vorratsdatenspeicherung ist mW. vor jedem Gericht inkl. EUGH geplatzt. Nicht das mal jemand Dich verklagt, weil Du diese unrechtmäßig erhebst! Wie gesagt, u.a. die DSGVO, Fernmeldegeheimnis, Grundgesetz, ... steht dem entgegen. Aber was ist das schon gegen nen Innenminister mit Parlamentsmehrheit ... 😏
https://www.lancom-systems.de/download/documentation/Whitepaper/LANCOM_R ...
Zitat:
e) Vorratsdatenspeicherung:
Der Bundestag hat am 16.10.2015 das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten („Vorratsdatenspeicherung“) verabschiedet. Er stellt darin klar, dass Hotspot-Anbieter, wie Cafés etc., nicht zur Vorratsdatenspeicherung verpflichtet sind. Die entsprechenden Passagen finden sich in Artikel 2, Änderungen des Tele- kommunikationsgesetzes. In den Erläuterungen zum Gesetzestext heißt es wörtlich:
Zu § 113a TKG-E: Die Vorschrift beschreibt den Kreis der zur Speicherung Verpflichteten. Nach Absatz 1 Satz 1 richten sich die Speicherpflichten an diejenigen, die öffentlich zugängliche Telekommunikationsdienste im Sinne von § 3 Nr. 6 a) TKG erbringen, also nicht an diejenigen, die lediglich daran mitwirken. Erbringer zeichnen sich dadurch aus, dass den Kunden regelmäßig ein eigener, in der Regel auf unbestimmte Dauer angelegter Telekommunikationsanschluss zur selbstständigen Verwendung überlassen wird. Nicht verpflichtet sind demnach Anbieter, die ihren Kunden nur eine kurzzeitige Nutzung des Telekommunikationsanschlusses ermöglichen, zum Beispiel Betreiber von Hotels, Restaurants und Cafés, die ihren Kunden eine Telefon- oder Internetnutzung zur Verfügung stellen (zur näheren Bestimmung des Begriffs des „Erbringens“ vergleiche die Mitteilung Nr. 149/2015 - 43 - im Amtsblatt der Bundesnetzagentur).
https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Tel ...
Aber warum sich an solchen Veröffentlichungen orientieren, wo man doch anonyme "IT-Fuzzies" in nem Internetforum zu juristischen Themen befragen kann. Juristen sind für das Thema ja völlig überbewertet! 😂
Zitat von @aif-get:
Mir ist nicht bekannt dass der Uniti Controller dies protokollieren könnte, gibt es da vllt auch bessere Software, die eher für Hotels geeignet ist? Vllt mit einer Angabe von Zimmernummer und API zur Hotelsoftware?
Mir ist nicht bekannt dass der Uniti Controller dies protokollieren könnte, gibt es da vllt auch bessere Software, die eher für Hotels geeignet ist? Vllt mit einer Angabe von Zimmernummer und API zur Hotelsoftware?
Ja, kann LANCOM, Public Spot und die PMS-Option.
Das Unifi dafür ungeeignet ist, ist klar, dass Zeug wendet sich an sogenannte Prosumer, also Consumer (private Endanwender) mit total verballerten Vorstellungen. Für den gewerblichen Einsatz ist es nicht geeignet. Deswegen kostet das Zeug auch nur so wenig, meldet aber jedes bisschen Traffic an den Hersteller (bis vor einiger Zeit war dieses nicht deaktivierbar, ob sich das geändert hat, keine Ahnung).
Hallo,
Du kannst auch die einfachen APs von UniFi inkl. Controller nutzen, erstellst ein entsprechendes VLAN und verbindest dieses mit einem Zugang von lan1.de
Die liefern Dir einen Router und übernehmen sogar (bei Bedarf) noch den Support bis zum Endgerät.
Du kannst auch die einfachen APs von UniFi inkl. Controller nutzen, erstellst ein entsprechendes VLAN und verbindest dieses mit einem Zugang von lan1.de
Die liefern Dir einen Router und übernehmen sogar (bei Bedarf) noch den Support bis zum Endgerät.
UniFi Zwangs "Controller" klingt schon nach NoGo... 
UniFi Zwangs "Controller" klingt schon nach NoGo...
Mal ne doofe Frage. Wie handhaben das denn Unternehmen wie Aruba, Cisco, Zyxel und Konsorten?
Wenn ich dazu was suche, lande ich immer bei 500 EUR bis 1.000 EUR als Einstieg für die "freilaufenden" Wifi-Controller. Bin ich da irgendwo falsch abgebogen oder muss das so bei "Nicht-Zwangs-Controllern"?
Das Unifi dafür ungeeignet ist, ist klar, dass Zeug wendet sich an sogenannte Prosumer, also Consumer (private Endanwender) mit total verballerten Vorstellungen.
Solche Deppen halt: https://www.ui.com/casestudies/#default
Hätten die alle nur mal hier angefragt um zu lesen, wie man es richtig macht 😂
Mich erinnert das Ubiquiti-Thema immer mehr an die Forendiskussionen der 90er zwischen Mac und Windows-Usern. Da haben einem Leute – die ihren Kopf nie aus ihrem PC-Gehäuse bekommen haben – erklärt, was beim Mac alles nicht funktioniert und warum Maus eh ###e ist und keine Zukunft hat 😁
Ich würde auch lieber ein neues System kaufen, aber da es aktuell der Hotelbranche eh nicht sondelrich gut geht, möchte ich da nicht noch Salz in die wunde streuen.
Das aktuell System ist gekauft und klappt gut mit dem Controller, war ja lediglioch die frage, ob es da seitens Unifi die option gibt den punkt 3.
Man kann auch an andere Portale weiterleiten sehe ich grade, frage wäre natürlich hier wiederum: gibts da opensource Hotspot, welche ich auf der VM wo auch schon der Controller von Unifi läuft installieren kann?
Das aktuell System ist gekauft und klappt gut mit dem Controller, war ja lediglioch die frage, ob es da seitens Unifi die option gibt den punkt 3.
Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll Adresse unter Angabe der zugrunde liegenden Zeitzone.
abzubilden.Man kann auch an andere Portale weiterleiten sehe ich grade, frage wäre natürlich hier wiederum: gibts da opensource Hotspot, welche ich auf der VM wo auch schon der Controller von Unifi läuft installieren kann?
Wenn's das denn nun war bitte den Thread hier dann auch als erledigt schliessen !!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
