Kindersicherung zu lax gehandhabt

[funkyone]

Eine Frage zur Kindersicherung: ich plane die Neuanschaffung einer Box mit Kindersicherung. Hier sind mir diverse Probleme aufgefallen die die Sicherung bei einer originalen AVM Box und einem halbwegs schlauen Anwender ad absurdum führen: IP-Adressen...

Wählt man ein manuelles Setup (ohne DHCP) am Client kann man die Sperre einfachst umgehen. Selbstverständlich kann man nun auch behaupten dass es keinen Sinn macht eine Kindersicherung einzuführen wenn die einzelnen Rechner mit einem vollen Administrator Account laufen. Eine weitere Funktion die mir bekannt ist, ist die generelle Zugangskontroll per MAC-Adresse.

Lässt sich die Kontrolle der MAC-Adresse um die Verwendung einer bestimmten IP Adresse erweitern? Sinn wäre die Zugangskontrolle nicht nur auf Basis der IP sondern auch zusätzlich der MAC-Adresse vorzunehmen.

Wenn der Filius also die IP ändert UND/ODER den Netzwerkadpter kommt er nicht mehr in's LAN/WAN.

Die MAC Adresse könnte man zwar auch faken, aber das ist dann schon deutlich schwierige als nur TCP/IP Einstellungen festzulegen!

 

[ffridolin]

Wählt man ein manuelles Setup (ohne DHCP) am Client kann man die Sperre einfachst umgehen.

So einfach ist es nun auch nicht. Stell die Kindersicherung auf "Für Computer mit deaktivierter Kindersicherung ist die Internetnutzung gesperrt.", und schon bringt der IP-Wechsel nichts mehr. Oder man muss auf eine freigegebene IP-Wechseln, aber damit erzeugt man IP-Konflikte: Das klappt also auch nicht.

 

[funkyone]

Kindersicherung

Sprich "Deaktivierte Kindersicherung..." ist das "Standardverhalten" für IP Adressen für die keine Regeln existieren. Verstehe ich das richtig?

Wäre cool weil damit wäre das Problem erst mal gelöst... Ausser dass man dann natürlich das Kontingent von jemand anderem anzapfen könnte - ups... Aber wie Du recht hast gibt es dann die IP Konflikte die sich schmerzvoll bemerkbar machen werden.

Logisch. Danke!

 

[kuppe]

Die "Kindersicherung" ist das erste, was ich ausgebaut habe.
Du solltest Dich lieber mal mit Deinen Kindern *zusammen* vor den Computer setzen und im Internet stöbern. Verbote bringen nichts, die machen die Sache erst *reizvoll*.
Auch dieses Projekt wird davon getragen, daß man Einschränkungen umgeht und nach besseren sucht...
Das sind aber nur meine ganz persönlichen und von der Obrigkeit nicht gern gesehenen Ansichten. Diese Regierung will schließlich *keine* mündigen Bürger...
kuppe.

 

[Hans Juergen]

sorry, das ist doch etwas idealistisch gedacht...?
Es gilt, mit möglichst einfachen Mitteln einfache Sperren aufzubauen. jede Sperre ist zu überlisten... Alles wird protokolliert, wenn der Nachwuchs denn den ganz natürlichen Wettbewerb aufnimmt, kann ich das nachlesen... Dann werden die Möglichkeiten eine zeitlang ganz unterbunden, das diszipliniert...

 

[Silent-Tears]

Hat aber thematisch nichts mit freetz zu tun, wie wer welchen Nachwuchs diszipliniert, also beschränkt euch bitte auf die _technischen_ Details

 

[Hans Juergen]

Der ganze Thread hat mit Freetz nix zu tun...

 

[cando]

Wenn Du iptables benutzt kannst Du zur Not auch bis auf die MAC Adresse filtern und auch die http / https Ports auf diverse "kindersichere" Proxies forewarden.

Natürlich kann man auch mir laxeren Methoden die Kinder dazu bringen, etwas über Netzwerke zu lernen, sie von Sperre zu Sperre zu mehr Hintergrundwissen und Technikverständnis anzuspornen und gegen neugierige / zensierende Eltern eigene Schutzmechanismen erfinden zu lassen (Hacken des WLAN vom Nachbarn, Surfen bei McD, Nutzen von Tor und anderen Anonymisierdienste, Surfen beim Kumpel, Surfen mit dem iPhone....)

 

[hermann72pb]

@Silent-Tears: Man sollte schon die Randbedingungen betrachten, bevor man über die Techniken redet. Und die Randbedingungen / Erfahrungen besagen, dass man zwar mit den technischen Mitteln etwas erreichen kann, man sollte aber über die Sinnhaftigkeit der Maßnahmen nachdenken bevor man sie mit viel Aufwand und Mühe einleitet und die Anpassungsfähigkeit heutiger Flatrategeneration auch nicht unterschätzen.
Je nach dem, wie weit man es treibt bekommt man entweder solche Fälle wie bei Hans Jürgen, die schon ziemlich an eine Diktatur erinnern, oder eine an Anarchie grenzende Demokratie, wie bei kuppe. Die Fälle dazwischen kann man sicherlich auch konstruiren.
Wie cando schon sagt, sollte man anstatt der AVM-eigener Kindersicherung, die meist sowieso nichts taugt (wie kuppe zu recht behauptet) lieber iptables nehmen. Allerdings muss man dann iptables gut beherrschen und das ist eine Kunst für sich. Ob man sich lieber iptables anstudiert, anstatt sich mit den eigenen Kindern auseinander zu setzen, ist jedem selbst überlassen.
Ich würde sogar eine bessere Lösung vorschlagen: Den Sonnemann damit beauftragen iptables zu lernen, um eigene Kindersicherung zu programmieren. Vielleicht kommt er dann auf bessere Gedanken und der Papa kann ihm mit seinen Linuxkenntnissen helfen

MfG

 

[Silent-Tears]

Und wenn man sich dann über Sinn und Unsinn erzieherischer Maßnahmen, bespitzelung unter der Prämisse sie sei gut fürs Kind und weiteren Dingen entschieden hat, die nichts mit Freetz zu tun haben sollte man wirklich ins Freetz-Unterforum kommen und fragen, ob es denn so funktioniert, wie es funktioniert und ob es Alternativen gibt. Ab dann nämlich ist es für _dieses_ Unterforum interessant.

 

[funkyone]

Ihr habt schon alle recht

Ich bin auch der Meinung dass man neben technischer Restriktionen auch die Erziehung zum sinnvollen Umgang mit dem Medium in keinster Weise vernachlässigen sollte!

Eine technische Eigenschaft die mir in diesem Zusammenhang gut gefällt, ist das Zeitkontingent pro Tag limitiert auf festgelgte Uhrzeiten. Nur jedoch dass aufgrund der beschriebenen Unzulänglichkeiten dies lediglich den technischen Ehrgeiz der Sprösslinge anregen würde - was ja auch nicht schlecht ist, aber das gehört nun wirklich nicht hier her!

Da ich selbst keine Sprösslinge habe sondern mir das Ganze für einen Freund ansehe, werde ich mir aus Eigeninteresse mal iptables anschauen - der Papa soll lieber mal mit den Kids 'ne runde Fussball spielen und das Gespräch führen

Dies war meine ursprüngliche Veranlasseung in das Freetz-Forum zu posten. Ich hoffe ich kann somit den Erziehungsteil abzuschliessen und in den technischen Part überzugehen?!

Mein gedanklicher Ansatz wäre schon das Standardszenario der Kindersicherungs ACL's zu übernehmen. Solange wie gesagt die technische Möglichkeit vorhanden ist eine Freigabe zu erzwingen:

Fall a) Unbekannte IP ODER unbekannte MAC Adresse
- Zugang zum WAN verbieten
Fall b) Bekannte IP UND bekannte MAC Adresse
- Existierende Regel anwenden
- Existiert keine Regel, wie a)

Es hängt nach meiner Meinung also lediglich daran dass man als Admin in der Box einen Rechner (MAC + IP) einmalig bestätigen müsste - bzw. erneut wenn sich einer der Parameter ändert!

Für Tips zum Anfang bzw. besserer Lösungsvorschläge wäre ich dankbar!

 

[cando]

Wie gesagt, iptables ist da sehr hilfreich. Mit den richtigen Firewall Regeln und Portweiterleitungen kann man gezielt sehr viel verbiegen, die Zeitsteuerung und Kontierung kann man ja dem Proxy Anbieter überlassen...

Alternativ kann man auch iptables Regelwerke mittels cron jobs mit freetz zeitlich steuern und den Zugang damit für bestimmte ip/mac Adressen zeitlich begrenzen.

Um den Proxy-Kindersicherungsdienst kommt man aber nicht herum - der Schutz ist so gut, wie der Dienst des Anbieters sicher und gepflegt ist... Irgend jemand muss ja entscheiden, was Kindgerecht ist und was nicht - und das Internet ist riesig.

Natürlich kann man auch selbst eine Liste von vertrauenswürdigen Sites anlegen und alles andere Blocken - das artet aber in Stress aus.

Soviel zur Technik