Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Ubiquiti UniFi Travel Router im Kurztest: Flexibler Reise-Router
Das Problem ist bekannt: Man ist viel auf Reisen und möchte natürlich auch unterwegs mit dem Internet verbunden sein. Zu den Möglichkeiten zählen der Mobilfunk, der WLAN-Hotspot im Hotel oder in einem Café oder auch seltener per LAN-Kabel, wenn im Hotel oder im Besprechungsraum eine LAN-Buchse zur Verfügung steht. Ohne VPN ist die Verbindung über einen WLAN-Hotspot oder per fremdem LAN nicht ungefährlich, da niemals ausgeschlossen werden kann, dass das (W)LAN-Netz bereits kompromittiert und/oder sogar falsch konfiguriert ist. ... weiterlesen
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
ich sehe noch keinen so richtigen Einsatzzweck für das Gerät. Der UMR-Ultra kann mehr. Der bringt ein Mobilfunkmodem mit.
Das einzige, was der Travel Router anscheind mehrkann ist, dass er in den kostenlosen Sitemanager integriert werden kann und nicht in die kostenpflichtige Version wie die Mobilfunk Router.
Das Problem hatte ich noch nie, weil ich mich einfach Laptop und Smartphone per Wifi verbinde, aber nun gut.
Ohne VPN ist die Verbindung über einen WLAN-Hotspot oder per fremdem LAN nicht ungefährlich, da niemals ausgeschlossen werden kann, dass das (W)LAN-Netz bereits kompromittiert und/oder sogar falsch konfiguriert ist.
Sorry, aber das ist von einer IT Webseite bisschen peinlich. Ich glaube da hat der Autor zu viel an den NordVPN Werbungen geschnüffelt.
Nein, ein öffentliches WLAN ist nicht gefährlich! Zu 99% wird die Client zu Client Kommunikation sowieso verboten sein. Aber selbst wenn die nicht der Fall wäre, ist der einzig möglich Angriff ein remote execution. Dann ist aber dein Gerät das Problem und nicht dein Wifi Zugang.
Wir leben nicht mehr in den frühen 2000ern. Heutzutage ist sämtlicher Traffic verschlüsselt! Ich kann also mein Laptop nach dem Zero trust prinzip, mit dem schrecklichsten, kompromittiertem WLAN verbinden und es ist scheissegal.
So wie ich jeder VPS oder root Server mit dem "schrecklichen grossen weiten Internet" verbunden ist. Einzig DNS ist unverschlüsselt (wenn kein DoT oder DoH verwendet wird), das ist aber sicherheitstechnisch egal und höchstens eine privacy Geschichte.
Darum habe ich mal im Unifi Forum nachgefragt, wozu das Ding taugen soll.
Einzige Antwort:
Angeblich zahlt man in den USA in einigen Hotels für Wifi und dass auch noch per device. Mit dem Teil kann man also Laptop, Smartphone, Watch, Kindle, Chromcast, AppleTV verbinden und auf seinen Jellyfin Server zugreifen. Jellyfin geht dann halt auch, wenn du kein public Zugang hast.
Das ist keine "hohe Sicherheitvorkehrung", das ist der Software default der mindestens letzten 5 Jahre, gegen den du aktiv dagegen arbeiten müsstest, um ihn deaktivieren zu können.
Versuch mal ein bei einem AVM, Unifi, Netgear, TP-Link oder was auch immer hotspot so einzustellen, dass client to client erlaubt ist.
Aber eben, selbst wenn der Admin es versaut, ist es immer noch schnurzegal. Zero trust und so.
Also bei mir können die WLAN-Geräte an AVM und Unifi WLANs miteinander kommunizieren.
Alles andere wäre auch ziemlich blöde in der Marktausrichtung der Geräte.
Ich weiß nicht, was du da für Geräte einsetzt, aber es ist bei weitem nicht so, wie du sagst.
Das mag im Enterpriseumfeld so sein.
Und das Thema Zero Trust hast du scheinbar auch nicht verstanden. Im Heimbereich und auch SoHo betreibet keiner Zero Trust oder glaubst du, dass Tante Erna in der Lage ist, die Infrastruktur inkl. aller Geräte zu härten?
Das bekommen schon ITler nicht flächendeckend hin, wie soll das dann ein DAU können?
EDIT:
Und ansonsten sind fremde Netzwerke nicht ungefährlich.
Es gibt da nämlich Komponenten, die sind immer an der Kommunikation beteiligt.
Man nennt sowas Router/Switche.
Diese erlauben die Überwachung der Netzwerkkommunikation, ja auch ohne Client-Client-Kommunikation, weil das nämlich keine sind.
Von daher besteht hier also schon zwingend, durch die Ethernettechnik direkt vorgegebene Möglichkeiten, Angriffsvektoren. Es ist also per Design so gewollt.
Und es gibt nun mal wenig Möglichkeiten diesem Design zu entkommen, da es die Grundlagen heutiger Netzwerk ist.
Ich mache VPNs auf Reisen schon lange, sehr lange. Und nein, das hat nichts mit NordVPN zu tun, da gab es solche Anbieter noch gar nicht.
Ich machte und mache das einfach selber. Dann habe ich nämlich die Kontrolle, bis zu meinen Provider in .de.
Darum habe ich mal im Unifi Forum nachgefragt, wozu das Ding taugen soll.
Einzige Antwort:
Angeblich zahlt man in den USA in einigen Hotels für Wifi und dass auch noch per device. Mit dem Teil kann man also Laptop, Smartphone, Watch, Kindle, Chromcast, AppleTV verbinden und auf seinen Jellyfin Server zugreifen. Jellyfin geht dann halt auch, wenn du kein public Zugang hast.
Und du glaubst, dass du mit der Frage, dann alles rausgefunden hast?
Ich mache das z.B. deswegen, damit ich nicht alle meine Geräte in hunderte WLANs einloggen muss.
Wenn du mal öfter unterwegs bist, kannst du dir ja mal anschauen, wie viele WLANs du in den Systemen hast.
Und pauschale, erlaubte WLANs im System zuhaben, ist auch ein Sicherheitsproblem.
Der Router übernimmt den Uplink, egal ob nun WLAN oder 4G/5G und für die anderen Geräte hat sich nichts geändert. Viel mehr noch, denken gerade spezielle Geräte, dass sie auch noch in .de wären, was gewisse Sachen ermöglicht.
Naja, so wirklich mobil ist der nicht.
Es fehlt ein 4G/5G-Modem und ein Akku und er ist nicht standalone zu betreiben.
Man braucht immer ein anderes Gerät zusätzlich und sei es nur ein Smartphone und/oder eine externe Stromquelle wie z.B. eine Powerbank.
Und damit relativiert sich auch der geringe Preis und die kompakte Größe.
Naja, Mobil heißt nicht, dass man den in der Hosentasche betreiben können muss.
Er ist aber sehr einfach transportierbar, einfacher also 90% aller anderen Router.
Dass er kein 4G/5G hat, ist eben der Zielgruppe geschuldet. Von der Klasse Router gibt es noch etliche andere.
Er dient dazu, dass du den in das Hotelzimmer stellst, den in das WLAN einlogst und dann weiter machst.
Dazu braucht der weder nen 4G/5G Modem (Uplink kommt vom WLAN), noch braucht der nen integrierten Akku. (Strom kommt aus der Steckdose)
Du kannst ja mal ne Fritzbox in den Reisekoffer werfen (bei der gehts noch) oder einen solchen toller Wifi 7 Router so groß wie nen Schuhkarton.
Gehen würde das mit denen auch. Aber ist das wirklich mobil?
Dann hast du entweder maximal verkackt, oder sprichst nicht von Gäste Hotspot.
Bei AVM und bei Unifi ist das nämlich client to client per default blockiert.
So sieht das aus bei Unifi
und so bei AVM: "alls die WLAN-Geräte auch untereinander Daten austauschen sollen, aktivieren Sie die Option "WLAN-Geräte dürfen untereinander kommunizieren".
ist per default aber aus.
Im Heimbereich und auch SoHo betreibet keiner Zero Trust oder glaubst du, dass Tante Erna in der Lage ist, die Infrastruktur inkl. aller Geräte zu härten?
Eben nicht. Weil heutzutage alles verschlüsselt ist, überwachst du gar nix. Dafür müsstest du ein MITM cert bei mir installieren können. Du siehst vielleicht DNS oder states oder IPs, aber das ist wie gesagt alles privacy und hat nix mit "gefährlichem WLAN" zu tun.
Wer also glaubt ein VPN bringe Sicherheit, ist auf Marktinglügen von VPN Anbietern reingefallen.
Eigentlich ist es aber sowieso eine absurde Beweislast Umkehr. Wenn ihr behauptet, öffentlich WLANs seien gefährlich, müsst ihr darlegen warum.
Beschreibt mir einen realistischen Angriffvektor. Ich bin da offen für Fakten, neue Ansichten.
Und warum nicht direkt mit dem Smartphone/Notebook ins WLAN des Hotels einloggen?
Das Ding ist doch nur etwas für Aluhutträger.
Da nehme ich lieber so etwas wie einen TP-Link M7350/7450/7650/7750/8550 oder den demnächt erscheinenden M7352.
Die haben noch den Zusatznutzen, das man sie als mobiles NAS nutzen kann.
Die haben alle einen SD-Kartensteckplatz und die M7352/7450v3/7750/8550 unterstützen bis zu 2 TB.
Die Teile sind so groß wie eine Zigarettenschachtel und laufen mit dem Akku ca. 8-10 Stunden.
Dann hast du entweder maximal verkackt, oder sprichst nicht von Gäste Hotspot.
Bei AVM und bei Unifi ist das nämlich client to client per default blockiert.
Und es gibt nur AVM und Ubiquiti, wo man nur einen oder zwei Haken setzen muss? Durch die Setzung der Häkchen werden automatisiert Firewall-Regeln erstellt. Wenn du jedoch beispielsweise ne pfSense oder OPNsense nimmst, dann musst du alles händisch konfigurieren und wissen, was du tust.
Eben nicht. Weil heutzutage alles verschlüsselt ist, überwachst du gar nix. Dafür müsstest du ein MITM cert bei mir installieren können. Du siehst vielleicht DNS oder states oder IPs, aber das ist wie gesagt alles privacy und hat nix mit "gefährlichem WLAN" zu tun.
Wer also glaubt ein VPN bringe Sicherheit, ist auf Marktinglügen von VPN Anbietern reingefallen.
100%ige Sicherheit gibt es sowieso nicht, aber man sollte die ganze Netzwerk-Geschichte nicht auf die leichte Schulter nehmen oder eben nicht flennen, wenn etwas schief geht.
Öffentliche WLANs sind nicht gefährlich, wenn der Hotspot korrekt konfiguriert ist und wenn es nicht bereits kompromittiert wurde. Stichwort: MitM. Es bleibt zumindest bei mir immer noch Zero Trust übrig.
Dann hast du entweder maximal verkackt, oder sprichst nicht von Gäste Hotspot.
Bei AVM und bei Unifi ist das nämlich client to client per default blockiert.
und so bei AVM: "alls die WLAN-Geräte auch untereinander Daten austauschen sollen, aktivieren Sie die Option "WLAN-Geräte dürfen untereinander kommunizieren".
ist per default aber aus.
Ein Laptop oder eine iPhone betreibt Tante Erna Zero trust und gehärtet. Weil die so aus der Verpackung kommen.
Eben nicht. Weil heutzutage alles verschlüsselt ist, überwachst du gar nix. Dafür müsstest du ein MITM cert bei mir installieren können. Du siehst vielleicht DNS oder states oder IPs, aber das ist wie gesagt alles privacy und hat nix mit "gefährlichem WLAN" zu tun.
Wer also glaubt ein VPN bringe Sicherheit, ist auf Marktinglügen von VPN Anbietern reingefallen.
Eigentlich ist es aber sowieso eine absurde Beweislast Umkehr. Wenn ihr behauptet, öffentlich WLANs seien gefährlich, müsst ihr darlegen warum.
Beschreibt mir einen realistischen Angriffvektor. Ich bin da offen für Fakten, neue Ansichten.
Das ist aber auch bei Ubi entgegen deiner Behauptung nicht die Standardeinstellung. Das muss man aktiv einstellen.
Es hat nirgendwo jemand behauptet, dass es die APs/Router nicht können, sie sind nur auf Standard nicht darauf konfiguriert, weil das bei unerfahrenen Nutzern dazu führen kann, dass die gewünschten/gewollten Verbindungen nicht zustande kommen.
Firewall haben mal so gar nix mit client isolation am Hut. Die Client Isolation passiert schon bevor die Firewall überhaupt berührt wird. Es gibt VLAN, aber auch dass alleine bringt noch keine client isolation. Eben weil VLAN erst auf der Firewall geroutet wird.
Du musst keinen Haken setzten. Du musst aktiv werden und den Haken rausnehmen. Eben weil es per default blockiert wird.
Firewall haben mal so gar nix mit client isolation am Hut. Die Client Isolation passiert schon bevor die Firewall überhaupt berührt wird. Es gibt VLAN, aber auch dass alleine bringt noch keine client isolation. Eben weil VLAN erst auf der Firewall geroutet wird.
Absurd, abstruse Aussage. Argumente ausgegangen?
Aber ich versuche es doch mal.
Wenn jemand in einem öffentlichen Hotspot gehackt wurde, liegt ein Problem an seinem Gerät vor. Also nein, nicht bei mir melden, sondern beim Hersteller/OS.
Nochmals, der Unterschied zwischen "ich surfe in einem öffentlichen WLAN" und "ich surfe von Zuhause" ist praktisch inexistent.
Dein Geräte hat eine Sicherheitslücke, und mittels klick auf einem Link kann remote execution gemacht werden?
In beiden Situationen gleich.
Dein Geräte hat eine Sicherheitslücke, der Hacker hockt mit dir im gleichen Hotspot, der Hotspot ist falsch konfiguriert und client isolation ist nicht aktiv, und mittels senden eines Pakets kann remote execution gemacht werden?
Ja, da gibt es einen Unterschied zwischen "öffentlichem Wifi" und "Zuhause".
Aber merkt hoffentlich jeder selbst, wie lächerlich es ist, sich davor zu schützten. Das Angriffsszenario ist absurd.
Wenn du das Ding auspackst, dann ist dort keine Hotspot/Gäste-WLAN Config aktiv.
Der default ist also, dass man frei (ohne Isolation) kommunizieren kann.
Du musst erst die Hotspot/Gäste-WLAN Funktion aktivieren. Dann ist die Isolation für diese Funktion voreingestellt.
Da man aber erst den Hotspot/Gäste-WLAN aktivieren muss, ist doch eine Konfiguration notwendig oder willst du jetzt erzählen, dass der Hotspot/Gäste-WLAN bei Auslieferungszustand (aka default) aktiv ist oder was?
In dem Video sieht man das btw. sehr gut, dass man eben nicht im Default (aka Standard in der GUI) bleibt, sondern vom Default (aka Standard) abweicht und "Hotspot" auswählt. Und ja, das ist eine aktive Handlung, damit man vom Standard abweicht, also nichts von wegen Default.
Also auch hier, du widerlegst deine Argumentation selbst.
Es ist schon sehr eindrucksvoll, etwas zu behaupten und sich dann im selben Atemzug selber zu demontieren.
Genau, völlig irrelevant.
Und genau aus diesen Irrelevanz heraus gibt es im Zero Trust das Netzwerkrerouting, damit man die Geräte in eine sichere Umgebung zwingt.
Du argumentierst hier aktiv gegen die Grundmechaniken von Zero Trust und bekommst das noch nicht mal mit.
Argumentierst aber damit, dass mit Zero Trust alles geregelt ist.
Habe ich was verpasst und heute ist der fake news friday?
Per default, raus aus dem Karten, frisch ausgepackt, ist da ein hidden Wifi mit QR Code aufgedrucktem Passwort.
Das wird wohl kaum jemand als Gast Wlan verwenden. Aber ja, wenn du beim setup von Unifi zu doof bist und ein normales Wifi erstellst anstelle eines Guest Hotspot, dann ist das absurde Szenario:
Dein Geräte hat eine Sicherheitslücke, der Hacker hockt mit dir im gleichen Hotspot, der Hotspot ist falsch konfiguriert und client isolation ist nicht aktiv, und mittels senden eines Pakets kann remote execution gemacht werden?
Wobei selbst da ein VPN noch nicht mal was bringen würde. Nur weil mein Client per VPN ins Netz geht, ist der dennoch von anderen lokalen Geräten erreichbar.
Ihr könnt es drehen und wenden wie ihr möchtet, ein VPN bringt praktisch nix. Das ist NordVPN Propaganda. Ansonsten bitte ein konkretes Szenario aufzeigen, in dem ein VPN/client isolation was bringen würde.
Da wird nix kommen, weil es keine realistischen Szenarios gibt.
Das wird wohl kaum jemand als Gast Wlan verwenden. Aber ja, wenn du beim setup von Unifi zu doof bist und ein normales Wifi erstellst anstelle eines Guest Hotspot, dann ist das absurde Szenario:
Ich glaube, du hast keine Ahnung, was für "Spezialisten" beauftragt werden, die mal eben ein bisschen WLAN machen.
Manchmal ist es einfach der Cousin, weil der der einzige ist, der weiß, wie man nen Windowsrechner installiert.
Der ist dann automatisch Netzwerkspezialist, weil der nen NIC Treiber installieren kann (mit Windowsupdate) und ins WLAN kommt.
In einem klassischen Hotel einer Kette sind wohl eher Dienstleister unterwegs, die zumindest etwas Ahnung haben.
Aber fahr mal in die Pampa zu einem kleinen Hotel, was einfach, weil man es erwartet, WLAN bereitstellt.
Da findest du dann FB-Repeater und das ist dann schon fast "gut".
Mal ganz vom Eigenschutz gegen Missbrauch abgesehen.
Die Welt der IT ist voller Leute, die IT im Duden nachschlagen können, mehr aber auch nicht.
Denn IT ist auch sehr einfach, nicht!
Bestenfalls eine moderne Zone-Based-Firewall. Dann gibt es nämlich eine eigene Zone, die von internen Netzen strikt getrennt wird. Falls keine Zone-Based-Firewall verfügbar ist, das Hotspot-VLAN mittels Firewall-Regeln strikt abschotten oder willst du alles in einem VLAN/Subnetz laufen lassen?
Wenn das Hotspot-Netzwerk in einem eigenen VLAN mit eigenem Subnetz agiert, erst dann sollte man eben noch die Client-Isolation hinzuschalten.
Und nichtsdestotrotz reicht mir das nicht aus (Stichwort: Zero Trust). Aber kann ja jeder machen, wie er eben mag.
Wobei selbst da ein VPN noch nicht mal was bringen würde. Nur weil mein Client per VPN ins Netz geht, ist der dennoch von anderen lokalen Geräten erreichbar.
Ihr könnt es drehen und wenden wie ihr möchtet, ein VPN bringt praktisch nix. Das ist NordVPN Propaganda. Ansonsten bitte ein konkretes Szenario aufzeigen, in dem ein VPN/client isolation was bringen würde.
Das hat nichts mit NordVPN zu tun. Ich z.B. mache das schon seit Dekaden, da gab es kein NordVPN und Co.
Des Weiteren ist deine vermeintliche NordVPN Propaganda Grundlage im Zero Trust, also die Vorgehensweisen um sicher(ere) IT zu bauen/betreiben.
Kann also nicht soviel Propaganda dabei sein, wenn sie die ganze IT, gut durchdacht, darauf ausrichtet.
VPN bzw. ähnliche Mechaniken sind Teil von Zero Trust.
Ich wiederhole mich, bei dir behauptet die linke Gehirnhälfte das und die Rechte widerlegt es dann auch direkt.
Korrekt, aber Teil dessen.
VPN, bzw. vergleichbare Konzepte sind ein Subset vom Zero Trust.
Kannst du solange hin. und herwenden wie du willst, dadurch wird das nicht negiert.
EDIT:
ZTNA ist Teil von Zero Trust.
Damit wird auch der Netzwerkzugang (insbesondere Fremde, das heißt im Businesskontext auch das private Netz @home) als unsicher deklariert. Darauf setzt man dann trust no one, aka Zero Trust drauf. Und die Konsequenz ist, dass man den Client quasi direkt ab dem Client in eine Umgebung zwingt, die man (mehr) unter Kontrolle hat. Meist passiert das durch Cloudnetzwerke.
In dieser Netzwerkcloud greifen dann Mechaniken die man beliebig komplex gestalten kann.
Da man in so einem Kontext nur bedingt Cloudnetzwerke bereitstellen kann (am besten kostenlos) ist die nächstsicherer Umgebung, über die man verfügt, das eigene Netzwerk, aka VPN. Ein externes VPN, wie z.B. NordVPN zählt explizit nicht zu einer der sicheren Umgebungen, die man selber im Griff hat.
Beiden gemein ist, dass der Traffic vor dem Netzwerkprovider des Accessnetzwerkes versteckt wird. So erfüllt man den Zero Trust gegenüber dem Accessnetzwerk, gepaart mit einer Härtung des Clients gegen Angriff aus dem Netzwerk direkt. (das hat aber nichts mit dem Traffic zu tun, der outbound des Clients ist)
Nöö VPN ist nicht teil von Zero Trust. VPN ist ein Tunnel.
Zero trust ist, mein device ist so augelegt, dass ich es in jedes verseuchte Netzwerk, ja ins ganze Internet schmeissen kann. Weil ich eben von einem versuchten Gäste Hotspot ausgehe und damit rechne.
Ein Zero trust Gerät benötigt eben genau KEIN VPN, weil es schon an sich sicher ist nicht vor irgendwas isoliert werden muss. Wobei wie gesagt, ein VPN noch nicht mal das macht im lokalen Netzwerk.
Du willst nicht, dass "wilde" Kommunikation transparent auf dem Tisch liegt.
Du rufst sparkasse.de auf? Interessiert niemanden.
Dein Rechner versucht ne IP aus deinem Heimnetzwerk zu erreichen, weil du noch was offen hast? Interessiert niemanden.
Du kommunizierst mit deinem NAS @home? Interessiert niemanden.
Usw. usf.
Und ja, privacy ist Teil von Security. Nichts und niemanden geht an, was/mit wem du konsumierst. Denn auch solche Infos können Angriffsvektoren bilden.
Du warst auf Urlaub, hast gehomebankt, 4 Wochen nach der Rückkehr ruft dich die "Sparkasse" an und sagt, wir haben da einen Sicherheitsproblem, können wir mal den Login abgleichen.
Na, woher weiß denn nun die "Sparkasse", dass du bei der Sparkasse bist? Bestimmt nicht, weil es in der Lokalzeitung stand.
Wir leben in einer Informationsgesellschaft. Jede Information kann gegen dich verwendet werden, auf die ein oder andere Weise.
Ok, damit hast du nun endgültig bewiesen, dass du hier mit Begriffen um dich wirfst, von denen du keine Ahnung hast.
Lies dich mal in das Thema Zero Trust (Stichwort unter anderem ZTNA) ein.
Sonst kann man noch lange mit einem Blinden über Farben diskutieren...
Es gibt nicht das Zero Trust Gerät als isolierte Entität. Es ist Teil einer gesamten Systemarchitektur. Netzwerkzugang ist dabei eine Teilkomponente, neben der Gerätesicherheit.
Ich gehe jetzt mal nicht darauf ein, warum dein Beispiel absurd ist.
Nur soviel: Wenn DNS deine Sorge ist, mit DoH oder DoT hast du den DNS verschlüsselt. Ohne VPN Gedöns.
