Die Kindersicherung lässt sich umgehen

[Omally]

Hallo,

hier ein Phänomen mit dem neuen OS 6.0
AVM will oder kann mir nicht helfen. Tickets werden nicht beantortet :

Folgendes:
Ich habe im Keller eine 7390 und im Erdgeschoss einen Repeater310. Es wird mit allen netzwerkgeräten über WLAn kommuniziert.
In der Fritzbox ist DHCP aktiviert und alle Geräte sind mit MAC-Adresse und fester IP eingetragen. Es dürfen sich keine weiteren Geräte anmelden.
Im Repeater sind alle MAC-Adressen einegtragen die mit diesem kommunizieren dürfen. Haken bei keine neuen WLAN Geräte zulassen ist gesetzt.
Das funktioniert auch soweit bis auf den Laptop meines Sohnes.
Ich sehe wie die IP im Repeater an seine MAC Adresse vergeben worden ist. Er ist im Internet , surft und spielt.
In der Fritzbox 7390 ist er nicht als aktiv zu finden.
Eingetragen ist er nur unter bekannte Geräte, aber ofiziell ist er in der Fritzbox " als nicht verbunden " angezeigt.
Somit greift die Kindersicherung nicht !
Das hat aber alles mit OS 5.0 funktioniert !
Wie geht das ? AVM liefert mir darauf keine Antwort.
Hat von Euch einer Idee ?

Momentan ist die Mac-Adresse im Repeater raus und mein Sohn jault.

vielen Dank für eure Hilfe,
Thomas

 

[Omally]

[Edit Novize: Überflüssiges Fullquote des eigenen Beitrag #429 gelöscht - siehe Foren-Regeln]

Nachtrag zur Geschichte :

Mein Sohn hat sich verraten ! ( oder er war so ehrlich mir zu verraten wie er es macht )

Als ich heute nach der Arbeit nachhause kam war er wieder angemeldet im Internet ohne dass ich ihn in der Fritzbox 7390 sehen konnte.
Er hat sich alleine im Fritzrepeater 310 eingetragen mit Mac Adresse ( ok, mein Fehler, ich hab den Repeater nicht Kennwort geschützt ), aber das wäre ja nicht so schlimm ! ( gegenseitiges Vertrauen )

Danach hat er auf seinem Laptop in der Netzwerkkonfiguration DHCP deaktiviert und seinem Laptop eine IP-Adresse von den Freien in meinem Heimnetz vergebenen Internetadressen verpasst. zb. Drucker oder Internetradio !
also irgendeine andere IP die ich in der Fritzbox eingetragen habe. ( mit MAC-Adressse versteht sich )

Danach hat sich sein Laptop Zugang zum Internet verschafft !!! Wie frage ich euch ???

Dann hatte er freies Surfen über den FritzRepeater 310 und über die Fritzbox 7390 ohne das Ihn jemand entdeckt. ( quasi blind und versteckt )

Deswegen :

ICH RATE ALLEN BESITZERN EINES FRITZ REPEATERS 310 dazu diesen sofort aus der Steckdose zu ziehen und Ihn solange einzulagern bis sich AVM zu diesem Fehler bekennt und diesen Fehler behebt.

Das Ding ist total unsicher !!!

Weiterhin rate ich allen Jusern dazu sich bei AVM über die Unsicherheit Ihrer Fritzbox 7390 zu beschweren !!!

Ich werde jetzt eine Firewall und einen dedizierten Server davor setzen !!! mir reicht es !!! mein Sohn hat so unentdeckt hunderte von Gigabyte downgeloaded, wo auch immer !!!

Fritzbox 7390 mit OS 6.0 ist UNSICHER !!!

Ich behalte mir vor gegen AVM Schadensersatz und Strafanzeige zu stellen.

Dend dessen Kindersicherung und Ip-Adressen Vergabe mit MAC-Filterung ist für die Katz !!!

Das sugeriert nur Sicherheit, ist aber in Wirklichkeit keine , und das ärgert mich maslos, da auch ich darauf reingefallen bin.

mfg
Thomas

Posting 2:

[Edit Novize: Überflüssiges Fullquote des eignen Beitrag direkt darüber gelöscht - siehe Foren-Regeln]

Nachtrag :

Ich habe den Fritzrepeater zwar mit einem Kennwort gechützt !
Aber wenn man sich dann darauf einloggen will, und man weiss das Passwort nicht mehr, dann bietet die Login Fläche an den Repeater auf Werkseinstellungen zrückzusetzen ?
Was für eine Sicherheitslücke ist das denn ?
Da kann ja jeder einigermassen schlaue 15 jähriger sich sofort wieder ins Internet einhäcken. Mein Gott AVM ! wo lebt Ihr denn ?
Schon mal was von IT Sicherheit gehört ?

 

[Omally]

Genauso unsicher wie die Wlan-Verbindungen.

 

[Tieflieger]

ICH RATE ALLEN BESITZERN EINES FRITZ REPEATERS 310 dazu diesen sofort aus der Steckdose zu ziehen und Ihn solange einzulagern bis sich AVM zu diesem Fehler bekennt und diesen Fehler behebt.

Wo ist er von AVM unsicher - wenn du diesen nicht Passwortschützt - dem Freien Raum ist er ja nicht "gehackt" worden

Weiterhin rate ich allen Jusern dazu sich bei AVM über die Unsicherheit Ihrer Fritzbox 7390 zu beschweren !!!
Fritzbox 7390 mit OS 6.0 ist UNSICHER !!!
..

Dend dessen Kindersicherung und Ip-Adressen Vergabe mit MAC-Filterung ist für die Katz !!!

Das sugeriert nur Sicherheit, ist aber in Wirklichkeit keine , und das ärgert mich maslos, da auch ich darauf reingefallen bin.

mfg
Thomas

Da sag ich mal nichts - MAC-Filterung - wenn eine Feste IP - vergeben wird im Gerät (MAC ist der Box egal - weil vom Repaeter zugriffen wird und sie nur diese sehen kann) - das Problem was da höchsten eintreten könnte wäre ein IP-Adressen - Konflikt, so das 2 mal die selbe IP-Adresse da ist Da scheint der Sohn dies nur zu machen wenn das andere Gerät aus ist - oder es auch auf eine Andere IP-Adresse gesetzt zu haben.

 

[Omally]

Hallo liebes AVM-Team,

wenn Ihr diese mitlest, so meldet euch bei mir.

Ich bin echt sauer und entäuscht.

Ich hab mir vor ein paar Monaten die Fritzbox 7390 gekauft, weil ich an euch geglaubt habe.

Aber so ! geht es nicht !

Da kann ich ja gleich jedem Haus, Tür und Tor öffnen.

 

[jojo-schmitz]

@Omally: wer einen Repeater ohne Passwort betreibt, kann in der Tat auch die Haustür offen stehen lassen...
die von dir bemängelte Sicherheitslücke befindet sich zwischen Tastatur und Stuhl...
Ein Werksrest des Repetears hätte ihn auch aus dem WLAN geworfen, ich kann da also kein wirkliches Problem erkennen.

 

[Omally]

Ich bin seit 29 Jahren Programmierer, was ein IP-Adressen Konflikt ist, weiss ich !
Aber es sollte nicht sein da sich ein Gerät mit einer falschen Mac-Adresse und einer gedoubelten IP-Adresse unsichtbar in der Fritzbox an allen Regeln der Technik vorbeischleicht und ins Internet geht !

Möchtest du das das dein Wlan Nachbar das genauso macht ?

@Omally: wer einen Repeater ohne Passwort betreibt, kann in der Tat auch die Haustür offen stehen lassen...

hab ich doch gesagt, das das mein Fehler war , oder ?

Aber das das über Umwege so schamlos unter der Fritzbox 7390 ausgenutzt werden kann, habe ich nicht gewusst, oder war mir nicht bewusst. Sorry about that.

 

[oldmen]

@ Omally

1. Novize meinte sicherlich nicht sich sondern die Beiträge, welche er gelöscht hat.

2. Vollzitate (und dann auch noch vom eigenen Beitrag obendrüber) sind hier unerwünscht (und auch vollkommen unnötig)

3. zu deinen Problemen:

- Wenn der Repeater vom Sohnemann (oder wem auch immer) auf "Werkseinstellungen" zurückgestzt wird, dann hat er natürlich auch erstmal keine Verbindung mehr zur Box!
Es ist also kein Sicherheitsproblem, sondern nur nervig, alles neu einrichten zu müssen.

- MAC-Filter sind auch keine vollwertige Sicherungslösung

 

[Omally]

Hallo an Alle,
Danke an Alle für eure Antworten.
Ich/Wir brauchen nur Hilfe wie man mit einer Fritzbox7390 unter OS 6.0 sein Heimnetzwerk sicher macht.
Und da habe ich gerade massive Problem mit.
Vielen Dank für eure Unterstützung

 

[jojo-schmitz]

Es ist doch kein Fremder und Unbefugter in dein Netz eingedrungen, oder? Und mit hinreichend sicherm Passwort auf dem Repeater, der Fritzbox und fürs WLAN wird das wohl auch niemand.
MAC Filter sind übrigens nicht sicher, ist nur eine Frage der Zeit bis dein Sohnemann dieseHürde genomen hat.
Dein Problem ist doch wohl eher die Kindersicherung, da sollte es helfen allen Alex zu verbieten und nur mei bestimmten Rechnern zu öffnen.

 

[Omally]

Ja, aber da er aber in der Fritzbox 7390 immer noch freigegeben ist, konnte er ins Intranet gehen und sich, DURCH MEINE UNACHTSICHTIGKEIT, wieder im Repeater anmelden.

Der Bengel ist nicht blöd, der ist Gymnasiast im 9ten Schuljahr und hat Informatik im Im Profil !!!

Da kommen meine 29 Jahre IT Erfahrung schnell ins Schleudern.

Kann sein, das das jetzt auch so eine Art Kräfte Messen ist.

Danke und Gruß
Thomas

Ok,
ich bin kein Netzwerk Experte nur ein doofer pProgrammierer.
Aber was ist eine " vollwertige Sicherungslösung "
und wie sieht die aus ?

 

[jojo-schmitz]

WLAN Key ändern und Gastnetz einrichten. Dieses dann nur dann und solange öffnen wie für die Hausaufgaben unbedingt nötig. Das wird ihn lehren...

 

[H´Sishi]

Mh, so wie ich das sehe, benimmt sich der Repeater in diesem Fall wie ein Router - er nimmt den Traffic an, der von den in *ihm* eingetragenen Geräten stammt und leitet ihn weiter. Anscheinend prüft die Box diesen Traffic nicht weiter nach ...
Man kann das vergleichen mit einem hermetisch abgeschlossenen Panzerwagen - sobald ein Anhänger mit ner bloßen Plane dahinterhängt, kann da alles Mögliche drin sein, was dann auch dahin fährt wo der Panzerwagen hinwill.

Ich kenne den 310 leider nicht im Detail. Hat der evtl. verschiedene Betriebsmodi, sprich kann man den so "strunzdoof" einstellen, daß er alle WLAN-Pakete einfach an die (derzeit anscheinend wesentlich intelligentere) Box zur Prüfung durchreicht?

Was die Kindersicherung angeht ... funktioniert die über IP-Überwachung oder über MAC-Adresse?
- Wenn IP, dann kann sie jederzeit ausgehebelt werden, indem im erlaubten Client einfach ne andere IP händisch eingetragen wird.
- Wenn MAC, dann muß der Client eventuell direkt mit der Box verbunden sein. Allerdings sollte, selbst bei Verbindung über Repeater, die Netzwerkclient-Auflistung das so anzeigen: "{Laptop vom Sohn} - IP-Adresse - MAC-Adresse - Verbindung und ggfs. Geschwindigkeit - *Bemerkung*"
Bei Repeater-Verbindung ist *Bemerkung* ein Bogenpfeil und die Bezeichnung des zwischengeschalteten Gerätes.

So sieht das aktuell bei mir aus (Repeater ist ein AVM N/G (der mit der Audiobrücke)):

SGS4

192.168.178.23

{MAC-Adresse}

WLAN

fritz.repeater

Ansonsten ist es schon schade, daß AVM bei diesem konkreten Problem nicht mal antwortet. Ich an Omally's Stelle würde eine Antwort "Das müssen wir selbst prüfen, die Konstellation ist uns noch nicht untergekommen" akzeptieren - das würde zeigen, daß das Problem verstanden, erkannt und ernstgenommen wird.

*Edit* Die Idee mit dem Gastnetz ist gut ... kann der Repeater das auch vom Heimnetz trennen? Der Repeater soll ja, wenn ich das richtig verstanden habe, den Abstand zwischen Box und allen WLAN-Clients im Haus überbrücken.

Falls nicht, ist wohl ein zweiter Repeater fällig, der dann NICHT im normalen Netz der Box angemeldet, sondern auf das GASTNETZ eingestellt wird. Dann wird Junior's MAC-Adresse aus dem Normal-Repeater und der Box rausgeworfen und Kennwörter sowie WLAN-Keys werden geändert (ärgerlich).

Wie verhält sich die Box beim Rücksetzen auf Werkseinstellung? Stellt sich dann auch der WLAN-Key auf die (in diesem Fall bekannte) Werkseinstellung zurück?

 

[alarbiere]

...

Was die Kindersicherung angeht ... funktioniert die über IP-Überwachung oder über MAC-Adresse?
...

Die Fritz!Box prüft beides. Wenn MAC-Adresse und IP-Adresse nicht mehr zusammenpassen, wird der Rechner komplett blockiert und muss händisch (sprich "admin") auf der FB wieder freigegeben werden.
Wie sich das in einem Netz mit WLAN Repeater verhält weiss ich leider nicht, da ich keinen Repeater betreibe. Ich benutze einen zweiten AP (Billigprodukt) mit dem selben WLAN Key. Klappt einwandfrei.
Sohnemann wird sich jedoch immer noch an allen Sicherheitsmassnahmen vorbeihangeln können, indem er sowohl IP als auch MAC von einem anderen autorisierten, aber abgeschalteten Gerät kopiert.
Jeder Netzwerkadministrator weiss dass die Sicherheit eines Netzes am angeschlossenen Gerät anfängt. Wenn man den angeschlossenen PC nicht kontrolliert, dann kontrolliert man sein Netz nicht vollständig.

 

[KunterBunter]

In einem Netz mit WLAN Repeater verhält es sich genauso:
Kindersicherung verhindert fälschlicherweise Internetzugriff

 

[Tieflieger]

Wenn das Netzwerkgerät über einen zusätzlichen Router (z.B. WLAN-Router im Universal Repeater Mode) oder einen FRITZ!WLAN Repeater mit der FRITZ!Box verbunden ist, kommuniziert das Netzwerkgerät zwar über seine eigene IP-Adresse mit der FRITZ!Box, seine MAC-Adresse wird durch den zwischengeschalteten Router bzw. FRITZ!WLAN Repeater jedoch nicht zur FRITZ!Box übertragen.

Genau das bemängelt er ja - was aber je logisch ist - das die dann gar nicht von der Box zu sehen ist.

 

[Omally]

Hallo,
Es ist wieder soweit.
ich bin auf der Arbeit und schaue per Fernwartung in die Fritzbox7390.
Im Repeater310 habe ich die Mac-Adresse meines Sohnes gestern rausgeschmissen und dem Repeater ein Passwort verpasst.
Nun sehe ich das der Wohnzimmer Laptop im Netzt ist über den Repeater 310.
Ich habe meine Frau angerufen und gefragt ob der Laptop im Wohnzimmer an ist. Meine Frau hat verneint.
Also surft mein Sohn mit seinem Läppiüber die Adresse des Wohnzimmer Laptops im Internet ohne Kindersicherung mit freiem Internetzugriff.
Ich bin ratlos und weiss nicht wie ich das sauber und sicher hinbekommen soll.
Vielen Dank für eure Hilfe und die Korektur der Doppelposts.
Thomas

@alarbiere

Genau das ist es. Jetzt weiss ich wie er es macht.
Mein Gott.
Ich hatte ihm die Liste mit den Mac-Adressen und den IP-Adressen gezeigt.
Er nimmt sich jetzt eine freie Geräte IP mit der dazugehörigen Mac-Adresse und surft damit.
Das geht solange gut, bis das gekaperte Gerät eingeschaltet wird.

Und genau : die Sicherheit fängt am Endgerät an.
Deshalb können wir auf der Arbeit auch nicht an unseren IP-Adressen etwas ändern. Tun wir das , fliegen wir automatisch aus der Domäne raus.

Frage an alle :
Wenn ich von DHCP umstelle auf feste Adresse bringt das wohl auch nichts , oder ?

@KunterBunter :
Nein , die Kindersicherung greift erst gar nicht, Sie verhindert nichts, ich hab mir den Artikel durchgelesen.
Es ist eigentlich eher andersherum. Der DHCP Server vergibt nicht zugeordnetete IP-Adressen an die Mac-Adresse und diese sieht mann dann in der Oberfläche der Fritzbox nicht.

@Novize:
???

 

[trendchiller]

Wenn Dein Sohn Windows nutzt:
Benutzerrechte, keine Administratorenrechte.
Dann IP-Konfiguration auf DHCP setzen und in der Box eine Reservierung festlegen.
Dann kann er keine IP oder MAC ändern.
Das bringt Dich dann so lange weiter, bis er böse Boot-CDs findet... und Admin wird...

 

[alarbiere]

Hallo,
Es ist wieder soweit.
...
Ich habe meine Frau angerufen und gefragt ob der Laptop im Wohnzimmer an ist. Meine Frau hat verneint.
Also surft mein Sohn über die Adresse des Laptops im Internet ohne Kindersicherung mit freiem Internetzugriff.
Wie geht das , wenn ich IP-Adressen und Mac-Adressen korrekt im Repeater und in der Fritzbox vergeben habe ?
...

Ganz einfach. Dein schlauer Sohn hat die IP Adresse und die MAC Adresse des Wohnzimmer Laptops aufgespürt, und dann beide auf seinem PC konfiguriert.
Das alles geht mit Windows Bordmitteln, vorausgesetzt man hat Administratorrechte auf dem eigenen PC.

Ein simples

ping <wohnzimmerlaptop>​

gibt Auskunft über die IP Adresse.
Danach kann man mit

arp -a​

die dazugehörige MAC Adresse herausfinden.

Beides lässt sich dann leicht auf dem PC eintragen, so dass der PC "vorgibt" ein anderer zu sein. Die FB hat da absolut Null Chance diese Mogelei zu entdecken - zumindest nicht solange der Wohnzimmer Laptop ausgeschaltet ist. Übrigens sind auch professionelle Geräte hier überfordert. Einzig 802.1x mit individualler Authentifizierung für jeden einzelenen PC könnte hier helfen. Aber die FB wird das wohl nie implementieren...

Wie schon in meinem vorherigen Post geschrieben: Wenn dein Sohn Administratorrechte auf seinem PC hat, dann kann er damit alles machen was er will. Das beinhaltet jedwegliche Mogelei.

 

[Tieflieger]

@ Omally
ich würde über das verhalten einfach mit dem Sohnemann sprechen - wenn das nicht fruchtet sind die Technischen Geräte zu entziehen und nur unter Aufsicht frei zu geben. Für das verhalten kannst du nicht AVM verantwortlich machen sondern musst an deiner Erziehung etwas ändern.