Die Kindersicherung lässt sich umgehen

[dieguteFrauWaas]

Posting 1:
...
Ich hatte ihm die Liste mit den Mac-Adressen und den IP-Adressen gezeigt.
...

Oweh, aus der Nummer kommst Du dann aber nicht mehr raus, da Du dem "Einbrecher" praktisch Haus- und Wohnungschlüssel gegeben hast.
Der Kindersicherungsmechanismus basiert auf der korrekten Identifikation der Endgeräte über MAC- und IP-Adresse. Halbwegs sicher wäre es gewesen, wäre

- das Flag "Die angezeigten WLAN-Geräte dürfen untereinander kommunizieren" NICHT gesetzt wäre
- dafür gesorgt wäre, dass der Sohn auch auf anderen Wegen die MAC-Adressen der anderen Netzwerkgeräte nicht hätte herausfinden können (was praktisch unmöglich ist)

Aber mit 15-16 Jahre wird die "Kinder"-Lösung von AVM zwecks Kindersicherung wohl für Jugendliche wie Dein Sohn kein Thema mehr sein; schau mal bei Youtube unter den den Stichworten "Fritzbox" und "Kindersicherung" rein und versuche mal zu schätzen, wie alt die Kinder zu den zugehörigen Stimmen der Beiträge sind ...

Gehört zwar nicht mehr technisch hier hin, aber was versuchst Du denn zu verhindern? Das BPJM-Modul filtert doch praktisch NICHTS heraus, eine Recherche in google, wie man als Bürger einen Eintrag dort erwirken kann, erklärt auch schnell, warum das so nicht funktionieren kann. Die Blacklist der FB ist in der Anzahl der Einträge extrem begrenzt ... und es gibt sicherlich mehr als 50.000 Porno- und Gewaltseiten. Wenn der Anbieter der bösen Seite dann auch noch https unterstützt, greift die Kindersichung schon einmal gar nicht (zumindest war das früher so).
Bleibt einzig Zeitbeschränkung und Überwachung der Online-Zeiten ... und da macht Dein Sohn Dir gerade vor, wie kindisch die Kindersicherung ist.

 

[andilao]

Die Kindersicherung der Fritzbox = "zahnloser Tiger" ist eine altbekannte Tatsache und ist wirklich nicht neu in dieser Firmwareversion.

Beim Wegnehmen der Administratorrechte hört der Kampf um ein Klein-Guantanamo übrigens nicht auf, Bootreihenfolge ohne USB, CD etc., BIOS-Kennwort und Gehäuse-Schloss werden dann ebenso zur Pflicht. Und dann ist plötzlich ein Gerät vom Kumpel da und alles war vergebens! ;-) Wenn der "Kampf" auf dieser Ebene stattfindet, ist er schon längst verloren. Falls AVM sich mal durchringen könnte, dass der Dienst "FRITZ!Box-Kindersicherung" ein Kennwort an die Box übermittelt, wäre das ganze MAC- und IP-Adress-Gefummel Geschichte. Aber man hat wohl Angst davor, dass sich der unerfahrene Papa gleich mal selbst aussperrt. Und dann müssten ja auch gleich noch passende Apps her für den restlichen zuk. Elektronikschrott.

Mein Vorschlag für eine funktionierende Variante:
"Kindergesicherter" Universalrepeater mit eigenem WPA2-Key und eigenem Subnetz nur für den Delinquenten. Da wird das Ändern der MAC-Adresse sinnlos und die Übernahme einer existierenden IP aus dem Subnetz der 1. Fritzbox führt blos noch zur Beendigung des Routings. Nun aber nicht Wundern, wenn das Wettrüsten in die nächste Runde geht und "ganz plötzlich" ein Trojaner auf dem Wohnzimmer-Notebook landet oder ein eigener WLAN-AP am LAN der 1. Fritzbox auftauscht. ;-)

 

[elg]

hier ein Phänomen mit dem neuen OS 6.0 ....

Das hat aber alles mit OS 5.0 funktioniert !

Thomas

Möchte vorsichtig fragen: Ist das Ganze ein Fritz-Problem
oder wie der TE schreibt, ein OS-Problem.

E.L.G.

 

[koyaanisqatsi]

Hallo

Oder besser: Arbeitet doch zusammen, ihr gebt ein super Betatestingteam ab. :mrgreen:

Nächste Aufgabe für den Papa: Windowsbenutzer zur Kisi hinzufügen.


Nächste Aufgabe für den Sohn: Nicht ausperren lassen!

Viel Erfolg!

 

[Hans Juergen]

Die Kindersicherung der Fritzbox ist halt eine Kindersicherung. Wenn das Kind dann Jugendlicher mit erweiterten Kenntnissen wird, dann muss Erziehung her.
1. Versuch kurze Voll-Sperre, weitere Versuche verlängern die Sperre exponentiell. Das wirkt...! Jedenfalls bis zum Kauf eines Mobilrouters... Dann geht nix mehr...

 

[Omally]

Entschuldigung.
Musste mich ersteinmal wieder finden.
Dieser Novize hat hier scheinbar eigenen Vorstellungen von einem Forum.
Mit solchen massiven Korrekturen wurde ich bisher nicht konfrontiert, egal in welchem Forum ich schrieb.

Nun zur Sache :
Fritzrepeater gezogen und in die Verbannung geschickt.
Ich denke dieses Teil verursacht die Probleme.
Mit den Mac Adressen das hat er noch nicht raus.
Er sagte mir , er hätte kurz gegoogelt und dann eine Anleitung zum Hintergehen der Fritzbox-Kindersicherung gefunden.
Na, Danke AVM.
Morgen lasse ich mir das von Ihm zeigen und werde berichten.

@Hans-Juergen:
Das hab ich so nicht verstanden. Kannst du mir das noch ein mal erklären ?
Was ist ein MobilRouter ?

 

[Novize]

Dieser Novize hat hier scheinbar eigenen Vorstellungen von einem Forum.
Mit solchen massiven Korrekturen wurde ich bisher nicht konfrontiert, egal in welchem Forum ich schrieb.

Klar doch, denn dieser Novize hat, wie Du und alle anderen auch, die Forumsregeln abgenickt und so sollte jeder diese (auch AGBs genannten) Regeln einhalten. Schau Dich hier im Thread mal um, keiner erzeugt hier diese Schiebepostings, keiner diese Fullquotes. An wem liegt dieses Eingreifen von meiner Seite denn dann wohl? An dem Postingstil der anderen oder doch an Dir?
Nebenbei sind das im Prinzip alles nur Höflichkeitsregeln, die man eh beachten sollte.
Dazu zählt nun mal:
- Keine Fullquotes, wir wissen schon selbst, was wir soeben erst gelesen (und je nach User auch geschrieben) haben. In einer realen Unterhaltung plappert ja auch keiner seinem Vorredner alles nach, bevor er auf das gesagte eingeht.
- Keine Schiebepostings, also vielfache Postings hintereinander. Auch diese stören den Lesefluss. Man kann ganz einfach die einzelnen User mit Namen anreden, wie in einer realen Unterhaltung auch.
- Und wenn diese Diskussion sich ja als völlig unabhängig von der Firmware herausstellt, warum sollte diese dann im Firmware-Thread besprochen werden und so das Augenmerk vom eigentlichen Thema ablenken. Auch das ist die Aufgabe eines Moderators, wie ich sie auch in anderen Foren sehr oft genau so erlebe.
Daher wende Dich bitte wieder Deinem eigentlichen Thema zu, sonst kann ich hier ja dicht machen.

 

[dieguteFrauWaas]

Hehe, habe es gerade selber mal ausprobiert:

- Laptop hängt im Netz und hat aktive Zeitsperre durch Kindersicherungsregel
- habe Laptop feste IP aus dem Netzwerkbereich gegeben, hier, damit ich mein Environment nicht gänzlich verwirre, eine IP außerhalb des DHCP Bereichs

... Schwupp, konnte ich wieder im Internet surfen.

Die alte Filterregel der Kindersicherung hängt danach an der alten IP-Adresse unter Internet->Filter->Kindersicherung ... das Gerät hat für die neue IP die Regel "Standard" bekommen, die KEINE Zeiteinschränkung vorsieht.

Erklärung: Es gibt ja 4 vorbelegte Zugangsprofile Standard, Gast, Gesperrt und Unbeschränkt, von denen man aber nur Standard und Gast verändern darf. Standard wird jedem neuen Gerät zugewiesen ... ist aber bzgl. Internetnutzung völlig unbeschränkt bei Werkauslieferung (zumindest bei meiner 7390).

Lösung: Man verändert Standard dahin, dass überhaupt keine Zeit zur Internetnutzung erlaubt ist. Dann können neue Geräte/IPs solange nicht ins Internet, bis explizit eine andere Regel für das Gerät gewählt wird.
Ich glaube, das ist genau das, was Omally möchte!
Die Lösung hält solange, bis der Sohn irgendwo lernt, wie man die MAC des eigenen Geräts verändert ...

@Novize: Es könnte sich aber schon rausstellen, dass dieses Problem mit dem OS 6.0 zu tun hat, da Zugangsprofile in den vorherigen Releases so nicht im Web-Interface der FB verfügbar waren. Das ist schon ein herber Bug, wenn das Standard-Zugangsprofil alles erlaubt und somit sich die Kindersicherung auch durch Zehnjährige aushebeln lässt.

 

[koyaanisqatsi]

...und was ich herausgefunden habe:

...Benutzerregeln haben Vorrang vor Geräteregeln.
Dafür muss das Programm FRITZ!Box Kindersicherung von AVM Server runtergeladen...

 - alle lokalen Windows-Benutzer werden der FRITZ!Box zur Einrichtung der Kindersicherung übermittelt, auch die nicht angemeldeten
 - Betriebssystem-eigene Benutzer wie SYSTEM oder NETZWERKDIENST werden nicht mehr an die FRITZ!Box übermittelt
 - 64 Bit-Unterstützung

...und vom Administrator (admin Rechte) auf den jeweiligen Rechner einmalig installiert werden.

So darf koyaanisqatsi (eingeschränkter Benutzer) trotz gesperrten deepthought Rechner über diesen ins Internet.
Andere Benutzer, oder neu angelegte (admin Rechte), nicht!
Weil die das Profil bekommen: "entsprechend dem genutzten Gerät"

Neue Geräte dürfen nicht ins Internet, Standard Regel, wie dieguteFrauWaas meint, wurde geändert auf gesperrt.

So wird es also Eng für den Sohnemann:


Getestet hab ich auch, ob die gesperrten IP-Telefone anrufen/angerufen werden können. Es geht.
Mal sehen ob das Mediacenter ins Internet darf. Nö, braucht ein eigenes Profil, habs Mediacenter genannt.

Mein Fazit: Die Kindersicherung muss erst "erfahren" werden, damit man weiss welche Mechanismen greifen und welche umgangen werden können.
Also, ohne richtige Tests kann man sich da einfach nicht sicher sein.
Deswegen:
dieguteFrauWaas: "Aber mit 15-16 Jahre wird die "Kinder"-Lösung von AVM zwecks Kindersicherung wohl für Jugendliche wie Dein Sohn kein Thema mehr sein..."
...das unterschreib ich mit.


Na? Was meint ihr?

 

[Hans Juergen]

@Hans-Juergen:
Das hab ich so nicht verstanden. Kannst du mir das noch ein mal erklären ? Was ist ein MobilRouter ?

Zeigst du das auch nicht wieder deinem Sohn...? :hehe:
Guckst du hier. Ich habe ihn im Auto...

 

[Micha0815]

Ich mach mal advocatus diaboli

im Sinne von Omally`s Sohn

Ich würde mir http://www.youtube.com/watch?v=WtsxX6GRDxs
reinziehen.

Falls Du "Paps" mir Adminrechte entziehst auf meinem Lappi im BIOS die Boot-Sequenzen änderst und PW-schützst ... baue ich mir ne andere FP ein?

Vorausgesetzt die Fritte steht unter Verschluss und ich kann kein LAN-Kabel anstecken/Du hast den LAN-Adapter in meinem BIOS deaktiviert ... vom Taschengeld kaufe ich mir nen alten Lappi und konfiguriere den als Proxy?

Viel Spass "Paps" bei Ändern der MACs/IPs aller unserer Hausinternen Hardware und das mit der Notfall-IP schaue ich mir dann später an.

LG Sohnemann Omally

P.S.: Im Ernst, wenn das KnowHow eines Teenies wächst mit den Aufgaben -Hase<->Igel-Spiel- ...?

 

[H´Sishi]

Bei BIOS-Änderungen hilft eine neue FP erstmal nichts. Ist das BIOS auf Zack, startet der Laptop nicht mal, weil die neue Festplatte mit den alten Einstellungen nicht übereinstimmt oder sogar eine Hardware-Manipulation erkannt wird.
Blöd wird's, wenn der Laptop auch noch ne "Clear CMOS"-Funktion (mit Password-Reset) hat.

Falls der Proxy-Laptop mit der neuen HD ohne Murren arbeitet, muß er erstmal in's Netzwerk dürfen:
- die LAN-Ports komplett abschalten geht ja nicht mehr. Oder gibt's eine entsprechende .lua-Seite in der FB?
- Die Fritz!Box nebst LAN-Ports ist unzugänglich. Geht nur baulich, d.h. Schloß und Riegel.
- neue Clients kriegen per KiSi Internet-Verbot. Allerdings haben wir das Problem mit der MAC-Adresse ...
- WLAN's MAC-Filter erlaubt keine neuen, bisher unbekannten Geräte. Aber auch hier haben wir das Problem mit der MAC-Adresse ...

Bleibt wohl nur das WLAN aufzuteilen:
- Ein WLAN-Netz für's Haus, ein WLAN-Netz als Gastzugang.
- Die Media-Geräte auf komplett neue IPs einstellen - was Junior nicht kennt, kann er nicht ARPen. Blöd ist nur, daß die IP in den meisten Geräten eingesehen werden kann, ergo auch hier Abschließen der Setup-Funktionen. Für Computer: neue Benutzerkonten auf allen PCs & per Policy-Änderung alle Netzwerkkonfigurationen blockieren.
- Beide WLAN-Netze kriegen neue WLAN-Keys (die hoffentlich auf den Geräten nicht eingesehen werden können).
- Junior's Repeater wird in den Gastzugang verbannt.
- Der Gastzugang kriegt nur Freigabe für Mailen und Surfen - keine Tauschbörsen erlaubt. Mögliche Umgehung: Proxi's auf den normalen Surf-Ports, die aber Tauschbörsen zulassen.
- Im Gastzugang "Erst deaktivieren, wenn der letzte Gast abgemeldet ist" *ausschalten* - dann ist nach Ablauf der eingestellten Zeit Ende (was auch mögliche Tauschbörsen umgeht) und der Gastzugang muss erst neu eingeschaltet werden.

Bleibt noch die Frage, wie der Gastzugang aktiviert werden kann.
- Häkchen in der Web-UI - sicher, weil Paßwortgeschützter Zugriff.
- MT-F - unsicher, Gastzugangs-Funktion läßt sich nicht ausblenden.
- Geht's auch mit anderen DECT-Telefonen per Steuercode? Falls ja, ist das Zeitlimit für'n Hintern.

Übrigens sollte man keinen AVM WLAN-Stick im Haus haben, der an der abgeriegelten FB mittels "AVM Stick&Surf" konfiguriert wurde ...

 

[dieguteFrauWaas]

Vielleicht sollten wir einen neuen Thread aufmachen, Titel: "Wie man die Kindersicherung der Fritzbox umgeht/aushebelt"?
Sportliches Ziel ist es, schnelle und einfache Methoden zur Umgehung der Kindersicherung aufzuzeigen.

Das wäre natürliche hart für AVM, auf der anderen Seite würde dann endlich einmal etwas entwicklungstechnisch passieren (müssen?).
Für das Forum könnte es bedeuten, dass sich plötzlich eine neue Gruppe sehr junger Menschen einfindet und für die Inhalte interessiert ...
Was meint Ihr? Zu provokativ? Gäbe es rechtliche Bedenken?

 

[koyaanisqatsi]

Moin

Rechtliche Bedenken? Nee!

1. Schritt: Alle diesbezüglichen YouTube Videos studieren.
2. Schritt: Diese Tricks mal anwenden.
3. Schritt: Ein YouTube Video erstellen wo alle Aushebelmechanismen aufgezeigt werden.
4. Schritt: Jedem der mit der Kisi sein Netzwerk absichern möchte auf dieses Video aufmerksam machen (auch AVM).

...bin dabei! :lol:

 

[Black-Panther]

Dann fällt ja schonmal die Nutzung von WINDOWS & MAC bezüglich WLAN Schlüssel schonmal weg.

Es gibt bei Beiden Systemen die Möglichkeit das WLAN Kennwort im "Klartext" sich anzeigen zu lassen.
Unter Windows ist mir das ab WIN 7 Starter aufgefallen, wie es mit anderen WIN Versionen aussieht weiss ich nicht.

Bei MAC geräten wie Macbook/Mini gibt es ebenfalls die Option das Wlankennwort im Klartext auszulsen.

Beide Optionen musste ich mal bei einem Kollegen durch excerzieren, da er sich das kennwort seines WLAN Routers nicht Notiert hatte.

Er arbeitet hauptsächlich mit WLAN.

Würde man Linux einsetzen, wäre unter bestimmten vorraussetzungen --> Root
es ebenfalls möglich das WLAN Kennwort aus der Konfigurationsdatei für das WLAN auszulesen.

Dies ist mir bei verschiedenen Arbeiten mit dem Raspberry Pi aufgefallen.

Es sollte gerade bei Linux selbstverständlich sein, das man mit root (Administrator) rechten nur bei sehr wichtigen ereignissen, z.b. Updates
mit dem Root arbeiten sollte.

Standard Benutzer haben an der Config nix zu suchen.

Egal welche Lösung man dabei verwendet, INTERN bekommt man KEINE Sicherheit betrefflich WLAN.

Was mir Spontan einfallen würde, wäre ein Mini-PC als Server mit Linux, und iptables als Firewall (wesentlich mächtiger als die Router firewalls) und dann
für jedes Gerät (LAN) mit einschränkungen.

Z.b. eine Verbindung zum Netz erstmal für alle verbieten.

Dann eine Regel erstellen, für jedes Gerät auf IP & MAC Basis erstellen.

Hat man eine änderung von der MAC aber die IP bliebe die selbe -> Zugriff nicht gestattet.
Ist die IP anders, aber die MAC ist gleich -> Zugriff nicht gestattet.

Erst wenn IP & MAC übereinstimmen, dann wäre schonmal ein zugriff zum Netz möglich.
Dank iptables kann dann wesentlich feiner festgelegt werden, welche Ports für den "Client"-PC verwendet werden dürfen.

Das wäre zumindestens eine Lösung für LAN.

Ob man diese Variante auch für WLAN verwenden kann, ist davon abhängig ob die WLAN Karte den Routerbetrieb ermöglicht.
Ich weiss leider nicht wie der genaue Begriff hierzu heisst.

Vom Prinzip her sollte das aber auch möglich sein.

Du solltest schauen das du die Liste mit den ganzen geräten so schnell wie möglich weg bekommst, besser vernichen, oder speicher es dir
an einem sicheren Ort wo nur du Zugriff hast.

Somit ließe sich zumindest ein Bruchteil eindämmen, aber 100000000 %igen Schutz gibts nicht.

Mögliche weitere Absicherungen wurden zwar schon benannt, aber lassen sich ebenfalls umgehen.

Die LAN & WLAN Variante würde unter umständen greifen, wenn sichergestellt werden kann, das Physikalisch betrachtet
ein Zugang an dem Router ausgeschlossen werden kann. (Damit ist der Zugangsrouter gemeint, der die Verbindung direkt zum Internet hat)

Ggf. eine Holzkiste Bauen, die Rundum verschlossen ist aber Luftlöcher hat wegen Luftzirkulation.
Türe mit Vorhängeschloss.

In diese Kiste müsste der MINI-PC/Server ebenfalls Platziert werden.

Nach aussen könnte dann ein Netzwerk Switch abgeführt werden, an dem zwar jedes gerät angeschlossen werden kann.
Aber wenn das Gerät per Regel nicht am Server freigeschaltet wurde, gillt für das Gerät "Internet Zugriff nicht gestattet"

Es versteht sich von selbst, das ggf, das WLAN des Routers ab jetzt teilweise "unbrauchbar" geworden ist.

Trotz aller schutzabwehr etc..
Du solltest mit deinem Sohn darüber sprechen, und Erzieherische maßnahmen ergreifen.

 

[H´Sishi]

Ob man diese Variante auch für WLAN verwenden kann, ist davon abhängig ob die WLAN Karte den Routerbetrieb ermöglicht.
Ich weiss leider nicht wie der genaue Begriff hierzu heisst.

Der Begriff heißt "AccessPoint" oder "Zugangspunkt".

 

[hc_blacki]

Hör auf deinem Sohn alles zu verbieten/ ihn zu kontrollieren und red mit ihm.
Er wird eh immer einen anderen Weg finden. (Boot CD, Kennwort zurück setzen, UMTS Stick etc.)
Vielleicht wäre das mal ein Ansatz anstatt Stunden mit deiner Fritzbox zu verbringen.

Kinder kann man nicht programmieren, man erzieht sie.

 

[H´Sishi]

Was den Sohn angeht, stimmt .

Aber hier geht's ja um ein von AVM beworbenes Feature, was mit einem *snip* ausgehebelt und / oder umgangen werden kann.

 

[Hans Juergen]

ein von AVM beworbenes Feature

Ich habe schon in #25 geschrieben: Das Ding heißt Kindersicherung.

 

[jojo-schmitz]

Und das geht bis ca. 12, danach sind's Jugendliche...