Die Idee zu diesem Artikel ist in meinem letzten Urlaub in Island im September entstanden. In dieser Zeit hatte ich die ziemlich einmalige Gelegenheit, öffentliche und kostenlose WLAN-Netze in vielen unterschiedlichen Unterkünften im ganzen Land zu testen.

Dieser Artikel bezieht sich nicht ausschließlich auf Island, vielmehr geht es um Hotspots auf der ganzen Welt. Konfigurationsfehler machen nicht an Ländergrenzen halt. Fehler entstehen häufig durch Unwissenheit oder Unterschätzung der technischen Möglichkeiten böswilliger Akteure.

Nicht jedes WLAN-System im nächsten Elektronik-Markt oder im Internet eignet sich für einen Hotspot, auch wenn diese Geräte häufig über passend wirkende Funktionen verfügen.

Tipp No. 1

Rechtliche Absicherung

Die Einrichtung eines Captive Portal ist bei den meisten Hotspot-Lösungen mit wenigen Klicks möglich. Der Benutzer muss in diesem Portal zunächst die Nutzungsbedingungen des Betreibers akzeptieren und kann anschließend regulär das Internet nutzen. Die weiterentwickelten Produkte haben ein eingebautes Nachweissystem. Mit diesem lässt sich die Akzeptanz der Nutzungsbedingungen festhalten und über einen bereits vorhanden Identifier an das Endgerät binden.

Tipp No. 2

Client Isolation

Der Gast eines Hotels sollte keinesfalls auf den Hotelserver oder die Hoteldrucker z.B. an der Rezeption zugreifen können. Doch leider genau dass war in Island in zwei Hotels möglich gewesen.

Durch die Abschottung von Clients im selben Netzwerk und allgemeine Trennung vom internen Netz und dem für die Gäste kann verhindert werden, dass Akteure mit böswilliger Absicht oder mit Ransomware infizierte Geräte nicht auf andere Einfluss nehmen können.

Tipp No. 3

DHCP großzügig auslegen

In den meisten privaten und kleineren Firmennetzwerken wird ein /24-Subnetz verwendet. Dieses bietet für 254 Geräte IPv4-Adressen. Das Subnetz sollte aber nicht übertrieben groß geplant werden. Dabei fährt man mit fünf IP-Adressen je Gast in einem Hotel sehr gut. Ein /16-Subnetz ist meines Erachten allerdings für jedes Hotel-Netzwerk zu groß.

Tipp No. 4

Router(Gateway) absichern

Sehr viele Herstellern von Netzwerkgeräten nutzen identische Zugangsdaten der Administrative-Accounts für Produktreihen oder noch schlimmer für alle Produkte.

Ein Nutzer sollte von vornherein keinen Zugriff mit HTTP/HTTPS/FTP etc. auf den Gateway, meist den Router haben. In vielen Netzwerken ist der Router zugleich der DNS und DHCP-Server. Hiervon ist abzuraten, weil eine solche Konfiguration die Absicherung eines Netzwerk erschweren kann.

Die Zugangsdaten des Routers sollten bei der Ersteinrichtung umgehend abgeändert werden. Häufig wird vergessen, die Kennwörter zu ändern, was zu einem enormen Risiko für das Netzwerk und somit für alle Nutzer des Netzwerks wird. Wer Zugriff auf den DHCP-Server hat, kann beispielsweise eigene DNS-Server verteilen und die Bankwebseite auf eine Phishing-Seite umleiten.

Tipp No. 5

QoS nicht unterschätzen

Es macht durchaus Sinn, QoS in einem Hotspot-System einzusetzen. Gerade in Deutschland stehen vielerorts nur Anschlüsse mit sehr niedrigen Bandbreiten zur Verfügung. Quality of Service (QoS) ist bei solchen Leitungen die einzige Möglichkeit, überhaupt einen Hotspot bereitzustellen.

A) QoS für VoIP

Viele Anwendungen laufen über VoIP. Wenn QoS ohne zusätzliche Konfiguration von QoS für VoIP aktiviert ist, kann dies zu Störungen bei Gesprächen führen und somit zu einer schlechten Kundenerfahrung.

VoIP ist bevorzugt zu behandeln.

B) QoS für Bandbreite

Für alle anderen Daten sollte Bandbreiten-Beschränkung entsprechend der Nutzerzahlen oder durch feste Zuweisung aktiviert werden. So steht allen Nutzern immer ausreichend Bandbreite zur Verfügung.

Neben der Konfiguration sind auch die richtigen Hardware-Komponenten und das passende Verwaltungssystem ausschlaggebend. Es gibt viele Komplettsyteme auf dem Markt, die alles abdecken sollen. Hersteller wie Ubiquiti oder Cisco bieten Produkte mit gutem Preisleistungsverhältnis an.