Das Passwort des Gastzugangs nur den Leuten geben, die da auch rein dürfen?
So kann man es auch zusammenfassen, aber die Frage an Ilja13 wäre es meinerseits auch, warum er diese Geräte denn "umbenennen" will. Das Vergeben von "sprechenden" und permanenten Namen (wenn man es schon nicht am Gerät selber vornehmen kann) macht ja noch Sinn, wenn man diesem Gerät irgendwoanders in den Einstellungen Privilegien einräumen oder ihnen Einschränkungen "verpassen" will.
Für das Gastnetz (das ist eben kein zweites separates LAN, dafür gibt es dann andere Geräte oder man nimmt eine Routerkaskade - wie das geht, hat heise.de mal ausführlich erläutert, so daß es eigentlich jeder hinbekommen sollte) gibt es ein gemeinsames Profil "Gast", mit dem man weitere Einschränkungen durchsetzen kann. Für einen "private hotspot" ist das (meine Meinung) vollkommen ausreichend, ich kenne sogar Leute, die schon eine solche Konfiguration aus Sicherheitsgründen kategorisch ablehnen würden.
Der Zugang zu diesem Gastnetz wird über den PSK als "shared secret" geregelt. Wer es kennt, kann damit das Profil "Gast" nutzen, ansonsten schaut er in die Röhre (da wünsche ich mir dann wieder Konsequenz und die Abschaltung von unverschlüsseltem WLAN oder zumindest das komplette Interface in Rot als Warnung bei solchen Einstellungen). Da der Administrator gar nicht zwischen den verschiedenen Geräten im Gastnetz unterscheiden muß (sie werden ja nicht individuell "behandelt"), braucht er auch keine Namen dafür.
Diese wären - per Definition - unmittelbar nach der Abmeldung des Gastgerätes ohnehin wieder vergessen. Das Gastnetz soll sich gar nicht "merken", wen es schon einmal kannte. Da wäre ggf. sogar die Datensparsamkeit eine Begründung - ich muß es nicht haben, daß jeder Betreiber eines solchen privaten Hotspots, an dem ich mich mal angemeldet hatte, meinen Gerätenamen (möglichst noch mit Hinweis, wer ich bin, spätestens nachdem er ihn für sich geändert hat) auf ewig mit meiner MAC-Adresse verknüpfen kann. Klar, das kann er als "böswilliger Lauscher" ohnehin, aber mit einer solchen - von den meisten unbeabsichtigten - Speicherung entstehen dann wieder viele kleine "Inseln" aus solchen Spuren, die bei der nächsten Sicherheitslücke zusammengetragen werden können.
Dann muß man m.E. aber auch mal überlegen, wofür in >95% (wenn nicht noch mehr) dieses Gastnetz verwendet wird. Die meisten "Hobby-Admins" wären mit einer zweiten unabhängigen Berechtigungsstruktur für das Gastnetz am Ende dann eben doch überfordert ... da ist das "KISS"-Prinzip für die Verwendung eines solchen Hotspots ein "guter Vorsatz" und den setzt AVM für mich hier in einer Form um, die vielen (m.E. den meisten) gerecht wird.
Ansonsten sichert man gemeinhin Netzwerkfreigaben auch mit passenden Credentials, auch ein Mediaserver ohne die Notwendigkeit der Anmeldung ist eher ein Grund zur Diskussion (die ja auch beim AVM-Mediaserver immer wieder auftaucht als Kritik).
Wenn mit
Ilja13 schrieb:
Bei mir sind nur Bekannte Geräte für WLAN freigeschaltet.
am Ende wieder der MAC-Adressfilter gemeint sein sollte, dann verstehe ich ohnehin weiter nicht, was damit bezweckt werden soll (warum es die Einstellung überhaupt noch gibt). Ein "versehentliches" Anmelden sollte es bei sicherem PSK ohnehin nicht geben (dazu gehört auch eine eindeutige (E)SSID) und einen ernsthaften Angriff verhindert dieser Filter bekanntlich nur dann, wenn der Angreifer keine Chance hat, ein zulässiges Gerät und den AP gleichzeitig zu "belauschen". Ich kann mir auch nicht vorstellen, daß dieser MAC-Adressfilter beim Gastnetz überhaupt berücksichtigt wird, das führt das komplette Prinzip "private hotspot" dann wieder ad absurdum, wenn es so wäre.
Am sichersten ist auch so ein Gastnetz natürlich dann, wenn es mit einem MAC-Adressfilter, einer "versteckten" SSID und einem starken PSK in Verbindung mit WPA2 arbeitet - dann ist es wohl am wenigsten gefährdet. Inwieweit sich diese Gefährdung jetzt erhöht, wenn da die SSID sichtbar ist und kein MAC-Adressfilter verwendet wird, aber immer noch ein starker PSK mit starker Verschlüsselung, hat mir bisher aber noch niemand plausibel machen können. Das ist ein wenig wie das Fahrradschloß vor der Tresortür, wo vermutlich auch jeder Einbrecher vor Lachen aufgibt, wenn er erst einmal den Tresor offen hat und sich jetzt daran machen müßte, das Fahrradschloß auch noch zu öffnen. Außer dem "guten Gefühl" (das auch noch trügerisch ist) bringt das - meine Meinung - absolut nichts. Wenn es bekannte Angriffe auf WPA2 geben wird (das kommt garantiert, spätestens mit der technischen Entwicklung, wenn die verwendeten Algorithmen "brute force attacks" nicht mehr wiederstehen können), dann muß man das neu bewerten, wobei ich mir beim besten Willen nicht vorstellen kann, wie dann eine "hidden SSID" und eine Filterung von MAC-Adressen da in die Breche springen sollten.
Mit
Ilja13 schrieb:
Am liebste wären mir entsprechende Haken in den Profileinstellungen, um das zu sperren.
kann ich überhaupt nichts anfangen, da verstehe ich den Hintergrund gar nicht. Wenn es ein Profil für ein solches Gerät gibt, dann soll mit diesem Profil gleichzeitig entschieden werden, ob das Gerät zum Gastnetz oder zum "lokalen WLAN" gehört? Das wird doch schon über die "Zugehörigkeit" zum passenden WLAN (über die ESSID) geregelt.
TL;DR:
Ich fände es ausgesprochen unschön, wenn AVM am Gastnetz irgendwelche "Sonderfunktionen" realisiert, die im Normalfall fast niemand braucht und/oder benutzt und dadurch an anderen Stellen die Sicherheit leidet. Dazu gehört für mich auch die Sicherheit vor Fehlbedienungen durch den Kunden. Ein komplettes zweites (W)LAN anstelle des Gastnetzes wäre eine solche Änderung. Abgesehen davon, kommen garantiert auch dann wieder einige Kunden auf die Idee, man müsse doch zwischen diesen beiden getrennten lokalen Netzen auch noch selektiv Verbindungen zulassen, weil es auch dafür garantiert einen "use case" gibt. Das ist ein Gastnetz für temporär anwesende Clients ... Punkt. Mit dem "captive portal" und den "tickets/vouchers" für das "Kaufen" von zusätzlicher Online-Zeit dürften daran eigentlich auch keine Zweifel mehr bleiben ... für die wenigen sinnvollen Anwendungen für zwei vollwertige lokale Netze gibt es andere Lösungen.
