Samstag, 16. September 2017

Internet-Paradies ?


Dieser Text handelt von Estland, genauer von Tallinn, der Hauptstadt dieses kleinen Landes am nördlichen Rand Europas, in dem ich meinen Urlaub verbracht habe. Aber dies ist kein Reiseblog, sondern das Thema dieses Blogs ist IT, und deshalb stell ich in diesem Text einmal dar, welche Erfahrungen ich mit Internet-Zugängen in Tallinn gemacht habe. Meine Darstellungen hier sind unsystematisch, nicht wissenschaftlich, sehr subjektiv, nicht verallgemeinerbar, aber genau so ist es mir ergangen. Und nein, ich bin auch nicht nach Tallinn geflogen, um einmal Internet zu erleben.

Entdecken Sie Tallinn


Erwartungen

Befragt man eine Suchmaschine zu diesen Schlagworten estland wlan, so findet man viele Artikel mit überaus positiven Darstellungen. Hier eine kleine Auswahl:

Die Meßlatte liegt also hoch, es soll alles besser sein als in Deutschland, viel besser. Ich lasse mich überraschen.


Gesetze

Es gibt viele Hinweise, daß in Estland der Zugang zum Internet ein Grundrecht sei: Die Verfassung garantiert ihren 1,4 Millionen Einwohnern den Zugang zum Internet.. Diese Aussage kann ich leider nicht verifizieren (hier finden Sie das Grundgesetz der Republik Estland), aber es gibt ein Gesetz, das allen Bürgern den Zugang zu Telekommunikations-Netzen gewährt, unabhängig von ihrem Wohnort: Right to access the Internet: the countries and the laws that proclaim it.

Die Meßlatte liegt weiterhin hoch. Ich beginne also meine Reise.


Hinflug

Meine Reise beginnt mit dem Flug nach Tallinn. Ich begebe mich also nach Frankfurt und sitze vor dem Gate, etwa eine Stunde vor dem Abflug. Da habe ich ja Zeit, ein wenig im Internet zu surfen, so etwas sollte es ja am großen Flughafen Frankfurt geben. Und siehe da, es gibt Internet:

WLAN am Flughafen Frankfurt
Übersicht über die
verfügbaren WLANs
registrieren oder anmelden hilft mir nicht weiter Danke, aber ich wollte ins Internet

Nach der Auswahl des WLANs rufe ich den Browser auf und wie in Deutschland üblich erscheint erst einmal die Seite eines Portals. Hier soll ich mich anmelden oder registrieren. Da ich mich hier noch nie angemeldet habe muß ich mich erst registrieren und somit gebe ich meine Mail-Adresse ein. Auf der folgenden Seite erhielt ich dann den Hinweis:


Ach so, der Betreiber des WLANs sendet mir eine Mail zu, die einen Link enthält, den ich doch bitte zur Bestätigung meiner Anmeldung anklicken soll. Danach könne ich selbstverständlich für eine gewisse Zeit im Internet surfen.

Hallo, wie mache ich dies? Ich sitze bei euch am Flughafen und meine Internetverbindung ist euer WLAN. Wie komme ich zu meiner Mail, wenn ich dazu ein Internet brauche und euer WLAN mich sperrt? Ich brauche einen Internet-Zugang, um einen Internet-Zugang erhalten zu können. Das ist der Stand in Deutschland, am Flughafen Frankfurt.

Ich habe dann ein wenig Musik gehört.


Hotel

In Tallinn gelandet begebe ich mich zum Hotel. An der Rezeption erhalte ich neben anderen Unterlagen unaufgefordert die Zugangsdaten zum WLAN, denn auf der Homepage des Hotels findet man folgenden Satz:
The von Stackelberg Hotel Tallinn has recently updated its WiFi internet connection.

Quelle: REASONS TO STAY AT THE VON STACKELBERG HOTEL TALLINN

Der Zugang ins Internet funktionierte ohne Probleme, es gab keine vorgeschaltete Seite und die Geschwindigkeit war immer >10 Mb/s.

Das sieht doch schon mal gut aus.


Tallinn

Danach begebe ich mich in das Zentrum von Tallinn und stelle fest, daß es in dieser Stadt sehr viele WLANs gibt.

WLAN-Gedränge in Tallinn

Auf den öffentlichen Plätzen gab es fast immer 25 - 30 aktive WLANs. Viele davon waren privater Natur und somit verschlüsselt, vernünftigerweise.

Aber auf den Bildern erkennen Sie ein beachtliches Gedränge. Die Funkfrequenzen sind genormt und diese Norm ist weltweit gültig. Für WLAN sind derzeit 13 nutzbare Frequenzen2) freigegeben und auf diesen 13 Frequenzen funken diese ca. 30 WLANs. Außerdem gibt es Überschneidungen, d.h. ein Kanal reicht in den Kanal links und rechts daneben hinein, so daß es noch enger wird. Vermutlich erklärt dies einige der schlechten Ergebnisse, die ich gleich darstellen werde.

Öffentliches Wifi

Die Stadt Tallinn betreibt mehrere WLAN-Hotspots, die den Namen TallinWifi haben. Anmeldung am Hotspot ist einfach, es erscheint nur ein Hinweis, daß dies ein ungesicherter Zugang ist.

Öffentliches WLAN in Tallinn
Übersicht über die
verfügbaren WLANs
Hinweis:
dieses WLAN ist unsicher

Die Geschwindigkeit des Zugangs war allerdings eher gemächlich, was neben dem bereits genannten Grund auch an der Anzahl in diesem WLAN aktiver Smartphones liegen kann.

Restaurants und Cafés

Viele Cafés und Restaurants bieten WLAN an, manchmal findet man aussen einen Hinweis:

Hier gibt es WLAN Übersicht über die
verfügbaren WLANs

Meistens gibt es keinen Hinweis auf das angebotene WLAN, da dies eine Selbstverständlichkeit ist. Die Anmeldung am WLAN ist häufig recht einfach, aber manche Restaurants wollten eine Anmeldung per Facebook; einmal sollte ich erst einer Facebook-Gruppe beitreten bevor ich das WLAN nutzen konnte, wieder andere wollten mich mit Werbung überschütten. Ich fand das alles nicht schön und habe solch ein WLAN nicht verwendet.

Und die Geschwindigkeit der angebotenen WLANs war häufig schlecht. Einige Beispiele zur Geschwindigkeit von WLANs in manchen Restaurants:

Geschwindigkeit des WLANs in einigen Restaurants

Das ist kaum brauchbar.

Einkaufszentren

In den Einkaufszentren der Stadt gibt es natürlich WLAN. Manche der Geschäft darin bieten WLAN an, aber auch der Betreiber offeriert dies. Hier ein Beispiel aus dem Viru Keskus Shopping Centre:


Museen

Tallinn hat eine reiche Geschichte, die sich über viele Jahrhunderte erstreckt. Entsprechend kann die Stadt in vielen Museen Zeugnisse aus ihrer Vergangenheit präsentieren. Und natürlich haben viele der Museen auch WLAN. Hier einmal zwei Beispiele:

WLAN in Museen
Estnisches Freilichtmuseum Estonian Maritime Museum


Sightseeing-Busse

Viele Städte bieten Rundreisen durch das Stadtgebiet per Bus an, so auch Tallinn: Tallinn City Tour. Und natürlich gibt es im Bus WLAN, wie Sie auf dem Bild erkennen können So meldete sich das WLAN im Bus:

Hop On Hop Off-Busse
Hinweis auf WLAN Übersicht über die
verfügbaren WLANs

Dieses WLAN bot eine brauchbare Geschwindigkeit.


SIM-Karte

Es ist somit an der Zeit, eine lokale SIM-Karte zu kaufen und diese Lösung auszuprobieren. Und da mein Smartphone 2 SIM-Karten bedienen kann, kann ich ja meine SIM-Karte aus Deutschland behalten und bin somit unter meiner alten Telefonnummer erreichbar. Die zweite SIM-Karte nehme ich dann für den Internetzugang.

In einem Einkaufszentrum in Tallinn fand ich einen Shop von Tele2, einem lokalen Provider. Dort wollte ich eine SIM-Karte kaufen, was aber in diesem Shop leider nicht möglich war. Man verwies mich an R-kisok, gleich um die Ecke, wo ich auch eine SIM-Karte erwerben konnte. Für einen Betrag von 3,50 € erhielt ich einen reinen Internetzugang für 7 Tage mit einem Datenvolumen von 5 GB und das Prepaid (von diesen Preisen können wir in Deutschland nur träumen). Diese SIM-Karte ist nur in Estland verwendbar, EU-weites Roaming wird nicht unterstützt. Laut Aufdruck auf der Verpackung kann ich mit Geschwindigkeiten von bis zu 375 Mb/s (down) bzw. 50 Mb/s (up) ins Internet gehen. Und sollten mir die 5 GB Datenvolumen nicht reichen, so kann ich auch für einen Zeitraum 30 Tagen ein Datenvolumne von 15 GB hinzubuchen - für einen Preis von 9,50 €3). Und wem das immer noch nicht reicht, der kann auch ein Datenvolumen von 30 GB hinzubuchen, für einen Preis von 15 €. Das sind Preise, und das alles für eine Prepaid-Verbindung. Davon werden wir in Deutschland noch lange träumen.

Soweit bin ich zufrieden, mein Smartphone kommt ins Internet. Um nun aber mit meinem Tablet ins Internet zu gehen musste ich am Smartphone (dort steckte die SIM-Karte) die Hotspot-Funktion aktivieren4). Durch diesen Schritt wurde das Smartphone zum mobilen Hotspot und baute eine WLAN-Netz auf, mit dem sich das Tablet verband. Problem gelöst.

Und so stellte sich das dann auf meinem Tablet dar:


Diese Werte sind zwar weit entfernt von den (theoretischen) Werten auf der Verpackung, aber damit kann ich gut leben.

Und am Ende meiner Reise stellte ich fest, daß ich von den 5 GB nur etwa 750 MB verbraucht habe, also etwa 15% des gekauften Datenvolumens.


Warum Internet im Urlaub ?

Ich habe mir in Tallinn das Lennusadam-Museum angesehen. Dort war u.a. ein U-Boot aus dem Jahre 1936 ausgestellt, das man sich auch von innen ansehen konnte5). Nachdem ich alles im Museum gesehen hatte ging ich wieder auf die Strasse und wollte mit dem Bus zurückfahren, aber der Bus war gerade abgefahren und der nächste Bus fuhr erst in 30 Minuten. Also ging ich zurück ins Museum, habe mir einen Capuccino geholt, das Tablet ausgepackt, dieses sich mit dem lokalen WLAN des Musuems verbinden lassen und habe dann ein wenig auf einer Boulevard-Seite und einer Nachrichten-Seite gelesen. Den nächsten Bus habe ich dann genommen.

Früher gab es noch kein Internet und die Menschen fuhren trotzdem und gerne in Urlaub. Aber früher hatte man eine Tageszeitung abonniert, und der Verlag bot einem an, sofern man im Urlaub eine feste Adresse hatte, für den Zeitraum des Urlaubs die abonnierte Zeitung an diese Adresse zu liefern. Also, früher war man auch im Urlaub mit seinem 'zu Hause' verbunden.


Tallinn-Card

Tallinn bietet seinen Besuchern auch verbilligten Eintritt in Museen, kostenlose Nutzung öffentlicher Verkehrsmittel usw. an: die Tallinn-Card. Diese hat die Größe und Form einer Kreditkarte, auf der Rückseite wird mit einem Filzstift notiert, wie lange sie gilt (bei mir: 3 Tage), daß sie für einen Erwachsenen gilt und welches das Kaufdatum war. Bei einer Nutzung dieser Karte, z.B. an der Kasse eines Museums, wird die Karte unter ein Smartphone gehalten, auf dem ein entsprechendes Programm (eine App) läuft. Diese App liest einen Code von der Karte und sendet diesen per Internet an einen zentralen Server, der die Gültigkeit der Karte an das Smartphone zurücksendet, und so erhielt ich kostenfrei meine Eintrittskarte. Und bei der ersten Nutzung der Karte wird diese auch gleich aktiviert. In Tallinn nutzt man halt die vorhandene Technik des Internets.


Besucher

Tallinn hat etwa 400.000 Einwohner und empfängt etwa 9.000.000 Besucher im Jahr. Einer davon war ich, aber ich war natürlich nicht allein in Tallinn. Auch Frank-Walter Steinmeier war in seiner Eigenschaft als Bundespräsident in Tallinn. Hier ein Bild von unserer Begegnung:


Wie Sie sehen, sehen Sie ihn nicht, allerdings sehen Sie 2 Bodyguards, wobei die Frau auf dem Bild mich gerade aus dem Weg schubst.


Experimente

Tallinn ist innovativ und experimentierte zum Zeitpunkt meines Besuches mit Bussen. In Tallinn findet man die üblichen Busse, zusätzlich aber auch Busse mit Oberleitungen und auch Straßenbahnen. Zum Zeitpunkt meines Besuches gab es auch eine Teststrecke mit autonom fahrenden Bussen:

Tallinn experimentiert mit Bussen

Zwei dieser kleinen Busse waren im Einsatz. Sie bewegten sich auf einer regulären, aber abgesperrten Strasse recht langsam vorwärts, wobei man eine Strecke von etwa 700 m als Teststrecke verwendete. Innen saß ein Mann, der fleissig die auftretenden Ereignisse mitschrieb und zur Not auch hätte eingreifen können, eben ein Experiment.


Rückflug

Auf dem Flughafen Tallinn hatte ich wieder Zeit bis zum Abflug. Also die Gelegenheit genutzt, das Tablet eingeschaltet und geschaut: Siehe da, es gibt WLAN, natürlich:

WLAN am Flughafen Tallinn

Das WLAN war brauchbar, auch die Geschwindigkeit war akzeptabel. Und man brauchte keine Anmeldung, Bestätigung oder sonstwas. Einfach auswählen, Bedingungen akzeptieren und lossurfen. Hallo Frankfurt, so geht das auch.


Fazit

Die Erwartungen in Sachen WLAN speziell und IT allgemein waren hoch und sie wurden so nicht erfüllt: Estland ist kein Paradies in Sachen öffentliches WLAN. Allerdings ist vieles besser als in Deutschland, was beim aktuellen Stand in Deutschland aber auch nicht allzu schwierig ist. Und bitte vergleichen Sie Tallinn nicht mit Wiesbaden, das wäre unfair.

Estland ist ein Pionier bei der Digitalisierung und bei Projekten zum E-Government. Das hat der Bundesaußenminister nun anerkannt und sich erinnert, wie rückschrittlich ihm Deutschland bei einer Vorstellung von "E-Estonia" vorgekommen war.

"Ich muss zugeben, dass wir Deutschen uns dabei ein bisschen wie ein Entwicklungsland gefühlt haben", sagte der SPD-Politiker am Mittwoch in Tallinn...

Quelle: Gabriel: Deutschland bei Digitalisierung "wie ein Entwicklungsland"

Man unterteilt diese Welt in 1. Welt, 2. Welt und 3. Welt. Unter der 1. Welt versteht man die hochentwickelten Industrieländer, unter der 3. Welt die Entwicklungsländer. Und unter der 2. Welt versteht man jene Länder, die irgendwie zwischen 1. und 3. Welt liegen. Ich möchte nicht soweit gehen wie Bundesaußenminister Gabriel, aber in Sachen Digitalisierung ist Estland sicherlich 1. Welt und Deutschland zähle ich zur 2. Welt.




Anmerkungen:
1) Im Text finden Sie eine Liste mit Ländern. In dieser Aufstellung werden Sie Deutschland nicht finden
2) In den USA ist ein 14. Kanal erlaubt.
3) Vor mir liegt ein Angebot für einen Internet-Zugang (Prepaid): 1,75 GB für 9,99 €, d.h. in Deutschland kostet es 9x so viel.
4) Mein Smartphone verwendet Android in der Version 6.0. Auf diesem Weg komme ich zum mobilen Hotspot: Einstellung -> Mehr -> Tethering & mobiler Hotspot ->WLAN-Hotspot -> einschalten. Danach WLAN-Hotspot einrichten: Namen meines WLAN-Netzes vergeben und die Anzahl Nutzer auf 1 Benutzer beschränken (so habe ich das gemacht, zur Sicherheit). Fertig.
5) Dabei habe ich festgestellt, daß ich mit meiner Körperlänge ungeeignet für einen Einsatz auf diesem U-Boot war, glücklicherweise.

Dienstag, 8. August 2017

"Der Server ist sicher !"


Es gab viele Diskussionen, in etlichen Kreisen, aber eigentlich gab es nur 2 Verläufe für diese Diskussionen: Bei Diskussionen unter IT-lern kam man sehr schnell zu dem Ergebnis, daß dieser Server nicht sicher ist. Bei Diskussionen mit Vertretern der Stadtpolitik lief es auf eine gebetsmühlenartige Wiederholung zweier Aussagen hinaus: Die eine Seite meinte "der Server ist sicher!", die andere Seite stellte dagegen die Aussage "der Server ist nicht sicher". Solche Diskussionen wurden rechthaberisch und endeten ergebnislos - unerfreulich.

Ich möchte den Hintergrund dieser Diskussion kurz anreissen: Es geht um diesen Server Politisches Informationssystem Wiesbaden (PIWi). Am 2. Januar hatte ich in einem Text die Absicherung dieses Servers, der in der Verantwortung der Stadt Wiesbaden steht, kritisiert (TLS). Am 8. Januar hatte ich mögliche Gefahren durch ungesicherte Server beschrieben (TLS (2)), am 19.1.2017 habe ich auf historische Beispiel von Hacks verwiesen, aber auch die Gesetzeslage dargestellt, die eine Absicherungg von Computern vorschreibt (TLS (3)), und am 29.5.2017 habe ich beschrieben, wie die von diesem Server eingesetzten Verfahren zur Verschlüsselung der Daten zu bewerten sind (Mitleser).

In den folgenden Diskussionen wurde von Seiten der Stadtpolitik klargestellt, daß die von mir beschriebene Situation nicht gegeben sei und daß der Server frühestens ab Januar 2018 überarbeitet werden solle.

Und vor wenigen Tagen und nur durch Zufall fand ich heraus, daß dieser Server doch abgesichert wurde und jetzt auf einem aktuellen Sicherheitsniveau ist. Als Belegt dafür möchte ich die Seite zitieren, die ich auch damals zur Bewertung des Sicherheitsniveaus des Servers angeführt hatte:


Sie können diese Seite selbst aufrufen: SSL Report: piwi.wiesbaden.de (141.90.2.78).

Das schaut gut aus. In meinem alten Text hatte ich Beispiele anderer Server angegeben und im Vergleich dazu steht der PIWI-Server jetzt garnicht schlecht da. Na also, geht doch.



Cipher Suites

In meinem Text Mitleser hatte ich aufgelistet, welche Verschlüsselungsverfahren dieser Server anbietet und unterstützt und diese Verfahren bewertet. Gehen Sie bitte auf die Seite von Quality SSL Labs, scrollen Sie ein wenig nach unten bis zum Abschnitt Configuration. In diesem Abschnitt finden Sie die Liste der vom Server unterstützten Protokolle: von TLS 1.0 bis TLS 1.2. Es fehlt die Version 1.3, aber da diese noch nicht endgültig verabschiedet ist, ist dies auch kein Vorwurf.

Ebenfalls in diesem Abschnitt finden Sie eine Liste der unterstützten Verschlüsselungsverfahren. Ich möchte nicht, wie in meinem früheren Text, diese Verfahren auflisten, beschreiben und bewerten, aber Sie sehen an der Liste, daß dieser Server sehr viele solcher Verfahren anbietet, von denen nur sehr wenige zu beanstanden sind (=weak). Und diese wenigen Verfahren findet man auch auf anderen Servern, so daß es wohl Gründe gibt, diese anzubieten (vermutlich will man ältere Geräte nicht ausschließen).

Es wäre somit alles in Ordnung. Naja, ein paar Anmerkungen möchte ich doch noch machen.



Aktivitäten

Trotz gegenteiliger Aussagen wurde in der Vergangenheit doch einiges an diesem Server umgestellt, obwohl man dadurch das Problem nicht löste. An einigen Beispielen möchte ich das verdeutlichen.

ping

Der Befehl ping ist ein Werkzeug, mit dem man überprüfen kann, ob ein Server noch 'lebt'. Man schickt eine Anfrage an diesen Server und kann, sofern der Server antwortet, die Antwort prüfen. Ein Beispiel:
august@AMD4:~$ ping www.heise.de
PING www.heise.de (193.99.144.85) 56(84) bytes of data.
64 bytes from www.heise.de (193.99.144.85): icmp_seq=1 ttl=248 time=18.5 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=2 ttl=248 time=17.6 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=3 ttl=248 time=15.5 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=4 ttl=248 time=13.8 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=5 ttl=248 time=14.5 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=6 ttl=248 time=25.2 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=7 ttl=248 time=13.8 ms
^C
--- www.heise.de ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6009ms
rtt min/avg/max/mdev = 13.849/17.037/25.219/3.742 ms
august@AMD4:~$ 
In diesem Beispiel habe ich das Kommando ping auf einen Server des Heise-Verlages losgeschickt, der entsprechende Server hat auch brav geantwortet; insgesamt wurden 7 solcher Anfragen an den Server geschickt, danach brach ich das Programm ab.

Und wie sieht das beim PIWI-Server aus? Versuchen wir es doch einmal:
august@AMD4:~$ ping piwi.wiesbaden.de
PING piwi.wiesbaden.de (141.90.2.78) 56(84) bytes of data.
^C
--- piwi.wiesbaden.de ping statistics ---
19 packets transmitted, 0 received, 100% packet loss, time 18144ms

august@AMD4:~$ 
Das sieht anders aus. Insgesamt 19 solcher Anfragen hat mein PC losgechickt, keine einzige Anfrage wurde beantwortet, d.h. der Server beantwortet solche Anfragen nicht. Das kann man so machen, aber früher ging das einmal, d.h. an diesem Server wurde etwas umgestellt. Diese Umstellung bringt aber keine Sicherheit, das ist nur Kosmetik.

Hier finden Sie weitere Informationen zu diesem Kommando: Ping (Datenübertragung).

nmap

Ein weiteres dieser Kommandos heisst nmap und fällt in die Kategorie der Portscanner. Mit diesen Programmen kann man sicherheitsrelevante Einstellungen abfragen. Ich möchte dazu 3 Beispiele bringen, die alle vom PIWI-Server stammen, aber an unterschiedlichen Tagen entstanden sind. Für diesen Text interessieren nicht die Details, aber bitte beachten Sie die Länge der Antworten des Servers:
august@AMD4:~$ nmap --script ssl-enum-ciphers -p 443 piwi.wiesbaden.de

Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-03 15:29 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.9.69)
Host is up (0.021s latency).
rDNS record for 141.90.9.69: online.wiesbaden.de
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_DES_CBC_SHA (rsa 2048) - C
|       TLS_RSA_EXPORT1024_WITH_RC4_56_SHA - D
|       TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA - D
|       TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       Ciphersuite uses MD5 for message integrity
|_  least strength: E

Nmap done: 1 IP address (1 host up) scanned in 4.94 seconds
august@AMD4:~$ 
So lautete die Antwort des Servers ursprünglich. Einige Tage später so das dann schon so aus:
august@AMD4:~$ nmap --script ssl-enum-ciphers -p 443 piwi.wiesbaden.de

Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-04 15:09 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.9.69)
Host is up (0.025s latency).
rDNS record for 141.90.9.69: dev.wiesbaden.de
PORT    STATE SERVICE
443/tcp open  https

Nmap done: 1 IP address (1 host up) scanned in 6.20 seconds
august@AMD4:~$ 
Sie sehen, der Server ist nicht mehr so 'geschwätzig', die Antwort ist wesentlich kürzer, wichtige Teile fehlen (u.a. die Liste der angebotenen Verschlüsselungsverfahren). Trotz der Aussage, daß am PIWI-Server nichts geändert würde, hat man trotzdem ein wenig gebastelt. Aber das fällt in die Kategorie Sicherheits-Esoterik, denn damit kann man 13-jährige Hacker erschrecken, aber keinen seriösen Hacker.

Und so schaut das heute aus:
august@AMD4:~$ nmap --script ssl-enum-ciphers -p 443 piwi.wiesbaden.de

Starting Nmap 7.01 ( https://nmap.org ) at 2017-07-04 15:50 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.2.78)
Host is up (0.028s latency).
rDNS record for 141.90.2.78: isa-test.wiesbaden.de
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 2048) - C
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|     compressors: 
|       NULL
|     cipher preference: server
|_  least strength: C

Nmap done: 1 IP address (1 host up) scanned in 4.78 seconds
august@AMD4:~$ 
Sehr viel mehr Zeilen, darunter die Liste der angebotenen Verschlüsselungsverfahren. Sehr gut, richtig so.

Es gab weitere solcher Beispiele für Anfragen an den PIWI-Server, deren Antwort nach der Veröffentlichung meiner Texte verändert (sprich: verkürzt) wurden.



Fazit

Die Stadt Wiesbaden hat es doch geschafft, diesen Server abzusichern. Geht doch. Allerdings hat man erst die Notwendigkeit bestritten, was zu unschönen Diskussionen führte. Gleichzeitig versuchte man es mit Verschleierung der Informationen, was natürlich aber das Problem nicht löst. Und dann hat man sich doch an das Problem gemacht.

In der Industrie werden solche Lücken in einer Software innerhalb von 24 Stunden beseitigt (= die Software wird gepatcht). Die Stadt Wiesbaden brauchte dafür ca. 5 Monate, daran müssen wir noch arbeiten.

Freitag, 28. Juli 2017

"Gibt es hier WLAN ?"


fragte mich an einem Samstagabend vor einigen Tagen in den Reisingeranlage eine junge Dame von vielleicht 10, vielleicht auch 12 Jahren. Und ich musste sie vertrösten: "Das dauert noch so eine halbe Stunde".

Im Sommer gibt es Filmvorführungen im Freien, eine Veranstaltung mit ganz eigenem Reiz. Diese findet statt in den Reisingeranlagen am Hauptbahnhof. Hier finden Sie das Programm 2017, diese Filme wurden vorgeführt. So sah das an einem Abend aus:


Und Freifunk Wiesbaden lieferte das WLAN zum Film-Abend. Und darüber möchte ich Sie informieren. über die Resonanz, die Technik, und überhaupt.


Wird das Angebot genutzt ?

Lassen wir doch einfach die Zahlen sprechen. Freifunk zeigt auf einer Karte an, ob ein Knoten aktiv ist und wieviele Nutzer an diesem Knoten angemeldet sind. Für die Reisingeranlage sah das so aus: Knoten Bilderwerfer2017. Jetzt ist dort nichts los, aber während der Filmvorführungen sah das anders aus:


erste Woche
29. Juni 2017 30. Juni 2017 1. Juli 2017
zweite Woche
29. Juni 2017 30. Juni 2017 1. Juli 2017
dritte Woche
13. Juli 2017 14. Juli 2017 15. Juli 2017
vierte Woche
20. Juli 2017 21. Juli 2017 22. Juli 2017

Klicken Sie einfach auf ein Bild drauf, dann sehen Sie das Bild in groß. Und Sie erkennen, daß am 1. Juli die Veranstaltung ins Wasser fiel, buchstäblich. An den anderen Tagen fanden Filmvorführungen statt; an einem Tagen waren max. 29 Smartphones im WLAN-Netz angemeldet, an einem anderen Tag sogar 181. Eine schöne Leistung, wenn man bedenkt, daß die Stadt Wiesbaden am Rathaus ein WLAN-Netz hat bauen lassen, das auf max. 100 angemeldete Smartphones ausgelegt ist und man etwa 10.000 € für die Installation ausgegeben hat. Und deshalb möchte ich hier darstellen, mit welchen Mitteln Freifunk dieses Netz realisiert hat.


Eingesetzte Geräte

Wie wurde das WLAN realisiert? In diesem Fall benötigt man Geräten an 3 Orten und diese Geräte kann man in 2 Gruppen unterteilen: Antennen und Access-Points.

Fangen wir mit den Access-Points an: mitten auf der Wiese stand ein LKW-Anhänger, in dem div. Utensilien und der Projektor für die Filmvorführung untergebracht waren. Auf dem Dach das Anhängers konnte man dieses sehen:


Das linke Gerät gehört in die Gruppe der Antennen, die ich erst einmal überspringen möchte. Die übrigen 3 Geräte sind die Access-Points, d.h. diese Geräte stellen die Verbindung zu den Smartphones her.

Access-Points ein Switch

Diese 3 Geräte bauen das WLAN-Netz auf und liefern die Daten per Kabel an den Switch, der sie wieder per Kabel an das Gerät links aussen (=die Antenne) weiterleitet (und die Antworten zu den Anfragen entsprechend wieder zurück).

Richtfunkantenne auf dem
Dach des Anhängers
zwei Richtfunkantennen an einem Hinweisschild

Die von den Access-Points kommenden Daten werden im Switch gesammelt und an die Antenne auf dem Dach des Anhängers geleitet. Diese sendet sie dann über eine Strecke von vielleicht 100 m an eine der Antennen auf dem Hinweisschild. Dort werden die Informationen über einen weiteren Switch (nicht abgebildet) auf die zweite Antenne geleitet, die die Informationen an eine weitere Station sendet (nicht abgebildet), wo sie dann endlich ins Internet eingespeist werden. Und auf diesem Weg laufen die Antworten auch wieder zurück bis zum jeweiligen Smartphone des Teilnehmers.


Zeitaufwand für Installation

Man benötigt die Geräte, eine Autobatterie, Kabel, ein bissel Kleinkram und natürlich eine Leiter. Und vielleicht eine halbe Stunde für den Aufbau bzw. auch wieder für den Abbau.


Kosten

Über die Kosten einer WLAN-Installation hatte ich bereist einmal etwas geschrieben: Was kostet 1 Pfd. WLAN ?. Insbesondere über die (geschätzten) Kosten der Installation für die Filmnächte möchte ich auf meinen damaligen Text verweisen: Filmnächte in den Reisingeranlagen. Die Details zu den einzelnen Geräten und den zugehörigen Kosten möchte ich nicht wiederholen, aber die eingesetzten Geräte kann man für einen Betrag von etwa 500 € kaufen.


Fazit

Es geht doch. Und warum tut sich die Stadtpolitik so schwer mit dem Thema WLAN?

Sicherlich ist dies keine professionelle Installation, aber die Filmnächte auf dieser Wiese sind auch keine Dauereinrichtung.

Zum Thema WLAN, wenn auch nicht im Zusammenhang mit den Filmnächten, stand im Wiesbadener Kurier einmal diese Aussage:




Hessentag

Ein kleiner Nachtrag: Vom 9. bis zum 18. Juni 2017 fand in Rüsselsheim der Hessentag 2017 statt. Freifunk lieferte dafür das WLAN: Freifunk@Hessentag 2017. Und mit Erfolg: Am 18. Juni waren mehr als 800 Smartphones im WLAN-Netz angemeldet. Und hier finden Sie eine Beschreibung der eingesetzten Technik. Und da war noch Luft nach oben, denn dieses Netz war ausgelegt auf bis zu 2.500 gleichzeitige Nutzer.