Sicherheitsrisiko Wohnheimsnetz?

Ich habe lange überlegt, ob ich diesen Artikel wirklich verfassen soll. Er lag längere Zeit unveröffentlich als Entwurf vor, bis ich mich nun doch dazu entschieden habe diesen zu veröffentlichen. Der Grund hierfür ist zum Einen, dass ich die technischen Details zur Ausnutzung der Lücke weitestgehend ausgelassen habe und zum Anderen, dass mögliche “Opfer” aufgeklärt werden, aber vor allem aus folgendem Grund:

Die Sicherheitslücke im Wohnheimsnetzwerk ist nicht kompliziert, sondern sehr simpel und auch nur leicht technikversierte Bewohner können mit ein klein wenig Nachdenken sehr schnell darauf kommen diese für sich zu nutzen. Dass Bewohner auf diese Idee kommen ist eine Tatsache, da es bereits früher immer mal wieder Probleme gegeben hat, auch wenn in anderer Form. Aber nun zu dem Problem selbst, bzw. vorher eine kleine Erläuterung, damit man versteht, wieso Bewohner sehr einfach auf diese Sicherheitslücke kommen können.

Die Rechner der Bewohner bekommen öffentliche IPs, welche der Universität zugeordnet sind. Klar, sie sind ja auch über das Rechenzentrum online und ein interner DHCP-Server verteilt die IPs, nachdem die Bewohner in eine Datenbank eingetragen wurden. Das Login ins Internet erfolgt dann über das Rechenzentrum mit dem Nutzerdaten der Universität. So weit, so gut, oder auch nicht? Der Datenverkehr ist hiernach erst einmal unverschlüsselt. Der Login-Server des Rechenzentrums prüft mittels eines Ping, ob der angemeldete PC des Bewohners noch online ist. Wird der Ping irgendwann einmal nicht beantwortet, so wird der Bewohner ausgeloggt. Das hört sich bis hier hin eigentlich alles recht gut an, aber das Problem liegt im Detail, in der Entwicklung der ganzen Struktur:

Datenvolumen kostet Geld, genauso wie die Bandbreite. Das wissen wird alle und war früher noch viel bedeutender. Bewohner der Wohnheime gehen über das Rechenzentrum ins Internet, d.h. sie haben einen sehr schnellen Internetzugang (ich selbst hatte testweise mit knapp 29 MBps und nicht Mbps, also knapp 240 Mbps Daten aus dem Internet gezogen). Somit können die Bewohner auch in kürzester Zeit riesige Datenmenge aus dem Internet ziehen, sodass hier ein Riegel vorgeschoben werden musste. Es gibt daher (war bereits aktiv, als ich in die Wohnheime gezogen bin) ein Traffic-Limit für den Up- und Download, welcher ab und an (mehr oder weniger fast willkürlich, sporadisch nach Messungen und Verhandlungen zwischen Rechenzentrum und Studierendenwerk) erhöht wird. Die Limits seit meinem Einzug 2003 bis kurz nach einem Auszug 2011 waren, soweit ich mich erinnere, (GB-Download / GB-Upload): (3 / 1,5), (5 / 2,5), (10 / 5) und (30 / 5). Und genau hier liegt das Problem, wieso auch bereits früher Bewohner die Sicherheitslücke gefunden haben. Was passiert, wenn der Traffic verbraucht ist? Man hat kein Internet mehr, bzw. wir so stark gedrosselt, dass es absolut keinen Spaß mehr macht auch nur ICQ zu nutzen. Also kommt unweigerlich die Frage auf, wie man dies umgehen kann. Der Großteil der Bewohner wird dies nicht beantworten können, aber ein paar schon und das ist das riesige Problem.

Damals haben sich die Bewohner eine neue IP selbst per Hand zugewiesen und waren wieder online, da die Traffic-Zählung anhand der IP stattfand. Dies wurde umgestellt, sodass die Traffic-Zählung pro User gilt, sodass das manuelle Eintragen nichts mehr bringt. Dies aber stellt eine noch viel größere Gefahr dar, als man meinen sollte. Wenn sich ein Bewohner nicht mehr mit seinen Accountdaten anmelden kann, wird er Wege suchen, dass es doch noch geht: Vielleicht mit einem anderen Account? Wenn dies funktioniert, ist der andere Accountinhaber der Dumme. Im Netzwerk der Wohnheime muss er hierfür noch nicht einmal die Accountdaten haben. Der Rechner von Bewohnern wird immer noch so lange als online gehalten, wie er den Ping des Login-Servers beantwortet. Was ist also, wenn ein anderer Rechner eines anderen Bewohners (der sein Traffic komplett aufgebraucht hat) genau in jenem Moment die IP des anderen Rechners bekommt, indem dieser offline geht (Anmerkung: der Moment ist nicht nur ein Moment, sondern kann knapp 30-60 Sekunden dauern…)?

BAM! BOOM! POW! (Oder wie hieß es schon schön in den alter Batman-Serie?)

Ein Bewohner ist mit den Accountdaten eines anderen (ohne dessen Wissen) online. Der Traffic wird auf den armen Unwissenden gebucht, ohne dass dieser auch nur im entferntesten etwas davon ahnt und irgendwann wird auch dieser vielleicht gesperrt. Aber ehrlich gesagt: Wayne? Das ist nicht das Schlimme daran. Was das Schlimme ist? Jeder ist für seine Accountdaten zuständig und verantwortlich. D.h. sollte sich der Bewohner (der im Grunde “die Session geklaut hat”) durch illegale Handlungen strafbar machen, so fällt dies auf den unwissenden Bewohner zurück.

Die Probleme sind bereits länger bekannt und es gibt auch Lösungen hierfür. Zum Einloggen ins Internet könnte z.B. ein VPN-Server anstatt einer https-Seite verwendet werden, sodass jeglicher Traffic verschlüsselt über diesen Server läuft. Dann wäre es keinem Anderen mehr möglich, die Sitzung zu übernehmen. Oder in den Wohnheimen wird alles entsprechend konfiguriert, dass ein Bewohner sich keine IP selbst zuweisen kann, bzw. ihm auch nur genau eine einzige zugewiesen wird. Der Aufwand für die letztere Lösung ist ungemein aufwändiger als ein VPN-Server. Zudem sind die Netzwerk-AGen der Wohnheime meist chronisch unterbesetzt, die Arbeit wird komplett ehrenamtlich und unentgeltlich von engagierten Mitbewohnern gemacht und es geht viel von der Freizeit bzw. Zeit des eigentlichen Studiums dafür drauf.

Was also nun? Wieso schreibe ich den Artikel überhaupt? Der Artikel wurde für alle die geschrieben, welche unwissend in den Wohnheimen wohnen. Euer Traffic ist aufgebraucht, obwohl ihr nicht in Mainz wart? Fragt nach den Protokollierungen eures Traffic. Könnt ihr unter Umständen beweisen, dass ihr nicht online wart, auch kein Rechner, der trotz eurer Abwesenheit im Wohnheim lief?

Was also nun? Wer soll denn etwas ändern, was kann von wem gemacht werden? Meiner Meinung nach sind die Netzwerk-AGen hier komplett raus. Es ist zu viel Arbeit für diese und die offiziellen Einrichtungen (Studierendenwerk und Rechenzentrum) müssen sich Lösungen einfallen lassen.

Bewohner, die diesen Artikel lesen: Fragt bei euren Netzwerk-AGen nach. Erkundigt euch nach den technischen Details, aber vor allem: Bekommt keine Panik. So wie ich dieses Problem sehe, handelt es sich hier momentan um ein mehr oder weniger unzureichend gesichertes Netzwerk. Sollten illegale Handlungen unter eurer IP durchgeführt worden sein, ohne dass ihr das wirklich wart, habt ihr absolut nichts zu befürchten. Im Zweifel für den Angeklagten und das jemand ohne mein Wissen über meinen Account online gehen kann reicht erst einmal. Aber nicht lange. Dies muss geändert werden, damit das Netzwerk ein Sicheres ist. Anlaufstellen sind eure Netzwerk-AGen und das Studierendenwerk.

Flow-Chart
Gebühreneinzugszentrale

8 Gedanken zu „Sicherheitsrisiko Wohnheimsnetz?

  1. Die Mac wird beim starten des Switches (nicht des Ports) erlernt (dannach sticky) und da alle Switches gestackt werden ist auch “global” nur eine Mac im Netz möglich. Man müsste also noch dafür sorgen, dass der andere Rechner in der Sekunde verschwindet in der man die Mac übernimmt, auch noch ein Stromausfall ist. Der Uplink braucht aber länger als die kritische Zeit zum booten. 🙂 Hurraa

    1. beim neueinzug/rechnerwechsel (oder besuch des nachbarn incl. laptop, was dann nicht mehr geht erst einmal) müsste der port aber wieder freigegeben werden… sollen dafür die switche immer wieder neu gestartet werden, oder wer macht das sonst noch außer dir? 😀 Das andere Problem ist immer noch, dass du das in einem Wohnheim machst, aber es noch ein paar mehr außer der Wallstr. gibt 🙂

  2. Korrekt, der Nachbar darf dich nicht besuchen und ja ein Neueinzug muss erstmal auflaufen bei uns. Wenn das in anderen Wohnheimen anders gemacht wird, dann ist da Handlungsbedarf.

    Ich würde ebenfalls eine anderen Art des Logins bevorzugen, aber uns wurde immer viel erzählt von Seiten des ZDV, gehalten wurde wenig. Ich erinnere nur an die erhöhte Pauschale für Netzwerker. Also wie immer: Wenn man es nicht selber macht, passiert doch nix.

    1. klar… Politik, wie überall 🙂 Ändert allerdings nichts an der Tatsache, dass du mit der Wallstr. mit aller höchster Wahrscheinlichkeit der einzige bist, der die Switche so eingestellt hat, so dass hier in der Tat bei den anderen Wohnheimen Handlungsbedarf bestünde. Aber wer macht das? Im K3 z.B. sind noch nicht mal alle Switch-Ports den Zimmern zugeordnet. Ohne diese Zuordnung geht da schon mal recht wenig… Außerdem weiß ich nicht, wie es in Weisenau und Hechtsheim aussieht mit den DSLAMS, ob mit denen so etwas möglich ist, bzw. wie und wer das dort machen würde… Fragen über Fragen 😀 Für die Bewohner “halbwegs” gut momentan, da sie nicht verantwortlich gemacht werden können.

      Und ob hier die Netzwerk-AG handeln muss, oder die eigentlichen Einrichtungen (Studierendenwerk/Rechenzentrum) wäre auch noch zu klären. Ich wollte nicht in solch einem unsicheren Netz weiter surfen… Von daher Bewohner: Macht Druck bei/über eure Netzwerk-AGen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert