So wie ich warteten vermutlich einige UniFi-Nutzer auf die Verfügbarkeit von WPA3 als Sicherheitsoptimierung der Drahtlosinfrastruktur. Ubiquiti hat mit der aktuellen Controllerversion – deutlich nach den Platzhirschen im „echten Enterprisesegment“ – das Feature für deutlich mehr und ältere Geräte als zuerst erwartet bereitgestellt. Welche Access Points und Softwareversion nötig sind, habe ich in diesem Beitrag aufgeführt.
Zur Visualisierung von umfangreicheren technischen Umständen benötigen wir Menschen oft Grafiken und Diagramme. Im WLAN-Umfeld aber auch anderswo setzt man sogenannte Heatmaps ein, die eine Skalierung von unterschiedlichen (Mess-)Werten in einer Farbskala auf einer Kartenbasis darstellen. Heatmaps sind also kurzum Skalendarstellungen auf Plänen bzw. Karten.
Um die Signalstärke, auftretenden Störungen und eine grafische Simulation der Netzausbreitung darzustellen, sind Heatmaps ein gutes Hilfsmittel. Sie stellen simulierte (oder je nach eingesetzter Hardware auch gemessene) Werte grafisch dar, um dem Nutzer oder Administrator zu zeigen und wo ggf. Probleme auftreten können, wo wie nachgebessert werden kann.
Heatmaps unter UniFi stellen simulierte Werte grafisch dar. Es gibt Hersteller, die tatsächliche Live-Daten zur Ausbreitung nutzen, dafür muss allerdings je Frequenzband mindestens ein Radio dauerhaft im sogenannten Survey- bzw. Monitor-Mode laufen. In diesem Modus wird laufend die Funkumgebung überwacht, aber vom entsprechenden AP keine eigenen Bacons verschickt, die z.B. das Vorhandensein einer SSiD propagieren.
Für die Optimierung vom bestehenden Problemen kann eine solche Heatmap sicher aufschlussreich sein – sie deckt aber lange nicht alle Parameter ab, die bei einer fundierten Wireless-Implementierung von Relevanz sind. So gibt die UniFi-Heatmap lediglich Aufschluss über Signalstärke im 2,4 GHz- und 5 GHz-Band. Datenrate, SNR oder etwa Störeinflüsse (Co-Channelinterferenzen, Radar, Mikrowellenstrahlung…) werden nicht erfasst, was ein sehr vereinfachtes aber nicht vollständiges Bild der Umgebung erzeugt.
Ein Statement. Mein Statement. Für die technische Einordnung haben die Jungs und Mädels von Appvisory bereits eine grundlegende Empfehlung zu technisch guten Alternativen ausgesprochen, bei der ich weitestgehend mitgehe. Lest hier (externer Link) gern mehr.
Mir geht die Facebook-Politik seit einiger Zeit auf den Zwirn und ich mag die aktuellen Schritte nun einfach nicht mehr mitgehen. Mich gibt’s zwar bei Facebook, allerdings schaue ich so selten da rein und ich nutze – bis bisher auf WhatsApp – keine Facebook-Apps, dass kaum Datensätze in aktueller Form dort zustande kommen können. Eigentlich. Denn wenn man mal unter die Haube schaut, sieht man erst, wie widerlich es ist, wie viele Daten sie nebenbei abziehen – und nun soll jeder bis 8.2. zustimmen und „angeblich soll es gar nicht genutzt werden“ – doch dadurch wird der grundsätzliche Austausch aller Facebook-Dienste untereinander zulässig. In weiten Teilen war es das bereits schon der Fall, es ist auch nicht der erste Versuch meinerseits, mich dem abzuwenden.
Eigenartigerweise wurde für die EU eine eigene Fassung der neuen Datenschutzbedingungen von Facebook bzw. WhatsApp geschaffen, doch ich frage mich, warum ein Konzern sich die Mühe macht – und die Kosten in Kauf nimmt, um angeblich nie zur Geltung kommende Änderungen zu propagieren und jeden Nutzer dazu zu nötigen, diesem Punkt zuzustimmen. Für mich ist das nicht nachvollziehbar und nun der finale Schuss ins Aus.
Zudem wurde vom Facebook-Konzern und Herrn Zuckerbrot mehrmals die Unterstützung Richtung Behörden forciert, angeblich verschlüsselte Chats etc. auszuwerten. „Eigentlich ja was Gutes“ könnte man meinen. Doch leider ist – vor allem in den USA – nicht alles, was gut scheint auch wirklich gut. Man denke an die peinlichen Standards und Implementierungen in Sachen Kryptologie, die bewusst von den amerikanischen Behörden in Zusammenarbeit vor allem mit der NSA, die über Jahre hinweg eine Scheinsicherheit erzeugt haben – nur, weil sie nicht in der Lage gewesen wären, die Verschlüsselung selbst wieder aufzubrechen. Man machte sowas schnell unter dem Deckmantel „Terrorschutz“ und „zum Schutz der nationalen Sicherheit“ salonfähig und schon war ein Standard mit Hintertürchen – und grottenschlechter Verschlüsselung geschaffen. Zudem gibt es Programme, wie PRISM (externer Link), die die Behörden nicht wirklich gut dastehen lassen, wenn man Wert auf eines unserer höchsten Güter, die Freiheit und Selbstbestimmung legt.
Telegram ist zwar in Russland entwickelt worden, aber da Threema den meisten Anwendern zuviel technisches Verständnis abverlangt, aber die höchste Datensicherheit bietet, finden sich dort nach wie vor leider zu wenig Peers wieder. Mittlerweile sind beide Messenger – inklusive Signal – Open Source.
Signal ist als Messenger sicher ebenfalls nicht schlecht, Open Source, einige nutzen es schon, aber es ist bei mir leider bisher nur instabil gewesen, bietet noch nicht so viele Features. Ich muss dazu sagen, dass ich seit es sie gibt, die Gruppierungsfunktion bei telegram lieben gelernt habe und auch Signal wird trotz der Quelloffenheit von der amerikanischen Regierung finanziert. Alle anderen Messenger sind aus meiner Sicht nicht wirklich brauchbar, da sie technisch nicht ausgereift, wenig Funktionen bieten, Datenschutz oft leider ein Fremdwort ist. Wer es übrigens noch nicht wusste: Die Kommunikation über das bei jüngeren Nutzern beliebte SnapChat ist vollständig unverschlüsselt und kann jederzeit mitgelesen werden. Leider gilt das auch noch für Chats bei telegram, die nicht als „secret chat“ oder „Geheimer Chat“ gestartet worden sind (erkennbar am grünen Schloss in der Chatliste bei dem Kontakt).
Nein. Mittlerweile nicht mehr. Und ich habe auch keine Lust mehr auf Diskussionen mit Leuten, die denken, sie wären der Gott des (Halb-)Wissens, nur weil sie mal einen Artikel in einer Computer Bild o.Ä. gelesen haben.
Der Hauptkritikpunkt an der Thematik rund um WhatsApp ist, dass sich WhatsApp ab sofort den Austausch teils sehr sensibler Daten mit dem Facebook-Konzern, insbesondere zu Werbezwecken, erlaubt. Zu diesen Daten zählen unter anderem die Telefonnummern, Transaktionsdaten, IP-Adressen und weitere Kommunikationsparameter oder allgemeine Informationen darüber, wie der Nutzer mit anderen (einschließlich Unternehmen) kommuniziert.
Nein, Quatsch. Naturlich bin ich erreichbar. Aber nicht mehr über den gewohnten Weg. Wem das nicht passt, der kann sich entscheiden, ob ihm der Kontakt zu einer Person oder das eigene Sicherheitsempfinden das wert ist, sich mit anderen Messengern auseinanderzusetzen, oder man muss auf althergebrachte Wege zurückgreifen. Sicher ist das mit etwas Aufwand verbunden, sollte man bestehende Chats oder Verläufe sichern wollen – hier scheint übrigens der Konzern eine künstliche Hürde geschaffen zu haben. Die Export-Funktion der Chats und Medien in iOS verschwand nämlich im Rahmen der letzten Updates. Ein Schelm, wer Böses dabei denkt.
Natürlich gibt es für jeden Messenger ein Für und Wider. Dennoch habe ich mich dazu entschieden, dem Facebook-Konzern nicht noch mehr minutenaktuelle Daten zu liefern. Diese Entscheidung kann, darf und soll bitte jeder für sich treffen. Ich appelliere an alle Missionare da draußen, die täglich versuchen, Leute zu etwas zu bewegen, was sie eigentlich nicht wollen: Lasst das! Akzeptiert eine Entscheidung und reflektiert dabei vielleicht die eigenen Umstände.
Leider lebt oder stirbt ein Messenger mit der Community, die ihn belebt. Ist niemand da, um zu kommunizieren, kann die beste Verschlüsselung, das schönste Interface und die praktischsten Features nichts bewirken. Ich möchte niemanden „zu einer Seite bekehren“ oder dazu aufrufen, etwas aus Prinzip zu boykottieren. Vielmehr möchte ich bei jedem Einzelnen ein Bewusstsein für das freie Handeln eines Jeden, eigene Entscheidungen und das Hinterfragen und das unabhängige Informieren wecken.
Ich werde weiterhin über telegram und Threema erreichbar sein, zeitweise einen Blick auf Signal und deren Entwicklung werfen – und vielleicht taucht ja ein neues Einhorn im Zauberwald der Messenger auf, bei dem sich wieder alle die Frage stellen dürfen: Reite ich diesen Gaul auch weiter, nur weil er grade im Mondschein glänzt? Man muss nicht jeden Trend mitmachen, doch manche Entscheidungen ziehen Trendwenden nach sich. Mein Fazit bleibt unterm Strich:
Kein Messenger ist perfekt.
Die Messenger-Manie finde ich langsam nervig. Es gibt so viele Optionen und dennoch keine perfekte Lösung. Lasst mich wissen, wie ihr damit umgeht!
Um die Performance einer Netzwerkstrecke zu messen gibt es viele Möglichkeiten. Eine derer – und aus meiner Sicht die verlässlichste und gleichzeitig einheitlichste Methode – möchte ich heute vorstellen. iperf3 ist ein Open Source-Tool, was auf nahezu jedem Betriebssystem lauffähig und daher sehr universell einsetzbar ist. Zudem bietet es einige Konfigurationsoptionen, die viele Szenarien abdecken.
Um einen einfachen Test zu definierten Servern im Web zu starten, kann man sich vorerst ohne einen eigenen Server aufzusetzen bei den frei verfügbaren Servern ausprobieren. Diese finden sich hier.
Mit dem folgenden Befehl kann man bereits mit iperf3 im Clientmodus testen. Es können bei Bedarf weitere Parameter angegeben werden. Beim Windows-Client muss ggf. die Dateiendung “.exe” nach iperf3 ergänzt werden.
iperf3 -c [iPerf-Serveradresse]Man sollte dabei allerdings bedenken, dass die angegebene Bandbreite viele Hops und längere Strecken durchläuft und jedes Mal einer Momentaufnahme entspricht. Wie man im eigenen Netz per iperf
Wie bereits erwähnt kann es ggf. nicht zielführend sein, einen öffentlichen Server anzufragen. Warum? Möglicherweise liegt die Ursache für eine schlechte Performance nur auf einem Teilstück der Strecke – zum Beispiel bei einem ausgelasteten Switch, langsam ausgehandelten Ports oder auch an einem ausgelasteten Speichersystem oder Virtualisierungshost. Um solchen Plagegeistern auf den Zahn zu fühlen, kann auch im lokalen Netz ein iperf3-Server installiert werden und die Strecke zum Standort dessen gemessen werden.
Die Installation kann auf nahezu jedem Betriebssystem stattfinden. Wichtig ist, dass nach Installation eingehende und ausgehende Ports (Standard: TCP/UDP 5001-5009) in der lokalen Firewall und ggf. auf dem Weg liegenden Firewall erlaubt worden sind.
Die Binaries für eine Installation finden sich hier.
In meinem Testszenario habe ich iperf3 auf einem Ubuntu-Server mit 64 Bit laufen lassen. Üblicherweise genügt eine aktuelle Installation und aktuelle Paketquellen:
sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install iperf3iperf3 muss nun noch im Servermodus gestartet werden und wartet dann auf Anfragen der iperf3-Clients:
iperf3 -sDie Übertragung wird mit genauen Messwerten auf Client und Serverseite gemessen und am Ende der Messung abgeglichen.
Nun erhält man am Ende Ergebnisse der Messungen. Doch wie sind diese zu interpretieren? Was muss dabei beachtet werden?
Je nach Infrastruktur können die Ergebnisse variieren, als Richtwerte sollten aber ca. 90-97% der physikalisch verfügbaren Durchsätze dienen:
Wie kommt es zur Reduzierung der physikalischen Maximalwerte? Ganz einfach! Der Betriebssystemkernel, die Netzwerkdienste und Treiber der Karten und Schnittstellen, sowie ggf. auch intern langsamere Verbindungen führen zur Absenkung der Brutto- in Nettowerte.
Ab der Version 5.11 des UniFi-Controllers ist es möglich, Device-Footprints zu hinterlegen. Bisher funktioniert dies allerdings nur manuell. Wer also bereits einen Einblick bekommen möchte, welche Geräte sich im eigenen WLAN oder LAN tummeln, kann bereits jetzt bekannte Geräte bestimmten Profilen zuordnen.
Es sind bereits einige Hersteller und Produkte eingepflegt, allerdings scheint hier noch einiges zu fehlen. Wie oft bei Neueinführungen sehen wir hier bisher einen kleinen Teil dessen, was möglich ist. Im nächsten Schritt wäre eine automatisierte Erkennung und Footprintzuweisung wünschenswert. Wir werden sehen, wie sich Ubiquiti hier weiter anstellt.
Die Möglichkeit des Device Footprinting im Netzwerk zu erhalten, finde ich spannend und durchaus interessant – für private wie dienstliche Nutzer. Wie aussagekräftig allerdings erste automatisierte Versuche – vermutlich in Betastadium – damit sein werden, ist allerdings erstmal mit Vorsicht zu beobachten.
Es gibt unzählige Menschen, die dauerhaft auf Reisen sind. Beruflich, privat, manchmal auch irgendwie beides gleichzeitig. Es ist selten, dass man sich in der Zeit nicht mit privaten Dingen oder sensitiven Informationen auseinandersetzt – bewusst oder unbewusst. Doch nicht jedem ist das scheinbar allgegenwärtig. Aufgrund meiner Erfahrungen als sporadischer Bahnfahrer möchte ich einmal darauf eingehen.
Nicht jede Tätigkeit eignet sich gleichermaßen für Reisen in öffentlichen Verkehrsmitteln. Das hat mehrere Gründe:
Durch die Enge in geteilten Fahrzeugen kann der Blick auf Dokumente und Ähnliches meist nicht ausgeschlossen werden. Um so wichtiger ist es, sich dessen bewusst zu sein und sich entsprechend zu verhalten. Es gibt allerdings stets ein Restrisiko, wenn man die besten Vorkehrungen getroffen hat, dass Dokumente und Daten erspäht werden können – gewollt oder ungewollt. Ein Beispiel dafür sind die Reihen in Großraumabteils von Zügen oder Flugplatzreihungen. Hier kommt es durchaus vor, dass mal jemand einen Blick zwischen die Sitze wirft – und wenn es nur ist, weil er oder sie sich eben die Jacke abstreifen möchte.
Es gibt unzählige Möglichkeiten, die Privatsphäre unterwegs zu schützen. Den Ersten wird gleich die sogenannte Privacy-Folie einfallen, die Unternehmensmitarbeiter oft als Add-On zu ihrem Dienstnotebook bekommen oder die Sichtschutzfolie, die man auf mobile Geräte auftragen kann, um den Blickwinkel einzuschränken. Das ist sicher eine Option – allerdings geben sich Unternehmen wie Lenovo, HPE oder Apple größte Mühen, möglichst gute, blickwinkelstabile Displays in ihren Geräten zu verbauen – und dann kommt die Folie und macht alles zunichte. Bravo!
Doch auch die Verschlüsselung ist ein wichtiger Punkt. Wird ein Gerät unterwegs geklaut oder vergessen, können bei nicht verschlüsselten Geräten die enthaltenen Daten, Zugangsdaten etc. ausgelesen, kopiert und weiterverwendet werden. Das ist sicher bei dem Excel, was die Ausgaben vom letzten Monat beinhaltet noch mäßig interessant, kann aber schon Rückschlüsse bieten. Kurzfristig verwertbar aber dennoch hochinteressant für potentielle Langfinger sind zwischengespeicherte Zugangsdaten, sog. cached credentials – meist eine lange Zeichnkette, ein sogenannter Token, der einen Hashwert beinhaltet, der – nach unterschiedlichen Algorithmen berechnet bzw. kombiniert mit weiteren Werten – vom jeweiligen Server die Nutzung des Dienstes autorisiert – und eine erneute Anmeldung unnötig macht.
Bist Du jemand, der sich den Toilettengang im Zug nicht verkneifen kann? Gehst Du gerne zwischendurch im Bord-Bistro was essen oder trinken? Raucherpause am Bahnhof? Wie hinterlässt Du Deinen Reiseplatz? Ich habe es oft genug erlebt, dass Leute einfach aufgestanden sind – ohne den Rechner zu sperren (für die Windows-Nutzer: [Windows-Taste]+[L] sperrt sofort den Rechner). Das sollte ein Mindestmaß an Sicherheit bieten – auch wenn der Rechner noch unbewacht an einem fremden Ort mit viel Fußverkehr steht. Besser wäre es, das Notebook oder iPad entweder mitzunehmen oder zumindest zurück in die Tasche zu tun, wo es nicht sofort von jedem gesehen wird. Ja, wenn der Sitznachbar ein Langfinger ist, bringt das auch herzlich wenig – aber die Leute, die grade von einem ins nächste Abteil sind, grade zugestiegen oder am aussteigen sind, sehen nicht sofort, dass dort ein Gerät zu holen ist.
Gebt auf Eure Daten acht. Schaut, wie Ihr Euren Platz hinterlasst und sprecht ggf. wen aktiv an, einen Blick drauf zu haben. Natürlich ist das nicht notgedrungen immer der vertrauensvollste Mensch und man kennt ihn kaum – aber dennoch schafft es Bewusstsein. Und passt auf Euch auf.
Wenn Du jemanden kennst, der das hier lesen sollte – oder einfach mal ne Anregung dazu von wem anders bekommen sollte, teile den Post, leite ihn weiter oder zeig ihn auf Deinem – hoffentlich mindestens PIN-geschützten und verschlüsselten Mobilgerät oder auf Deinem recht schnell zu sperrenden Notebook. Stay safe!
Allzeit eine sichere und entspannte Reise!