[Problem] Sicherheitsproblem? WLAN Gerät darf sich anmelden obwohl lt. Log gesperrt...

[mikrotom]

FRITZ!WLAN Repeater 300E mit Firmware: FRITZ!OS 05.10
Fritz!Box Fon WLAN 7390 mit FRITZ!OS 06.04


Hallo,
ich habe heute festgestell, dass sich ein iPhone via WLAN vermutlich über den Repeater anmelden konnte obwohl das lt. Konfiguration in der 7390 nur bekannte WLAN Geräte dies dürfen. WIE KANN DAS SEIN?
Das iPhone hat eine IP-Adresse zugewiesen bekommen nachdem die SSID ausgewählt wurde und der Netzwerkschlüssel eingegeben wurde. Das Gerät konnte dann trotz gegenteiliger Aussage inm WLAN System-LOG (WLAN Gerät ist gesperrt) im Internet surfen

Das ist mir bisher noch nie aufgefallen!!! Kann ich das unterbinden?

Hier die Einstellungen und LOGs:

WLAN Funknetz:
JA - Die angezeigten WLAN-Geräte dürfen untereinander kommunizieren
NEIN - Alle neuen WLAN-Geräte zulassen
JA - WLAN-Zugang auf die bekannten WLAN-Geräte beschränken

System WLAN-Ereignisse:
07.10.14 20:16:58 WLAN-Anmeldung ist gescheitert (2,4 GHz): Die MAC-Adresse des WLAN-Geräts ist gesperrt. MAC-Adresse: D7:9E:3F:C3:CA:A0.

Heimnetz Netzwerk
iPhone-Geraet 192.168.2.108 D7:9E:3F:C3:CA:A0 WLAN mit der FRITZ!Box verbunden über fritz.repeater fritz.repeater

 

[KunterBunter]

Das ist kein Sicherheitsproblem, denn die Sperre über MAC-Adressen ist und war noch nie ein Sicherheitsfeature. Deshalb kannst du diesen Fall auch nicht verhindern. Das einzige wirksame Sicherheitsmerkmal ist der WLAN-Schlüssel. Ohne Kenntnis desselben gibt es keinen unberechtigten Zugang.

 

[qwertz.asdfgh]

WIE KANN DAS SEIN?

Das muss so sein wenn der Repeater nicht ebenfalls einen MAC-Address-Filter verwendet, s.h. auch:
http://avm.de/nc/service/fritzwlan/...AN-Repeater-verbundene-Netzwerkgeraete-nicht/

Kurz:
Du müsstest (falls überhaupt möglich, weiß gar nicht ob man das im betreffenden WLAN-Repeater aktivieren kann) diese Funktion auch im Repeater deinen Wünschen gemäß korrekt konfigurieren und nicht nur in der Basis.

Ausführlich:
Die FritzBox kann nicht erkennen welche Geräte sich am Repeater anmelden. Die FritzBox sieht nur die MAC-Adresse des Repeaters und nicht die Geräte die sich am Repeater selbst anmelden.
Zuerst hat es der neue WLAN-Client an der FritzBox direkt versucht und wurde abgelehnt (s.h. Log) daraufhin hat es der neue WLAN-Client bei der zweiten bekannten WLAN-Basis für diese SSID versucht und da die FritzBox selbst dies nicht filtern kann sondern nur der Repeater selbst hat die Anmeldung darüber funktioniert. Am Repeater angemeldete Clients gehören vereinfacht gesagt zum Netzwerk und anfragen an den DHCP-Server darüber werden auch beantwortet (muss ja, die FritzBox kann schließlich nicht die Zugangskontrolle des Repeaters übernehmen) und dementsprechend hat der neue WLAN-Client auch eine IP-Adresse bekommen und kann das Netzwerk normal nutzen.

Dieses Verhalten ist für den Universal-Repeater-Mode, der zum Einsatz kommt, normal. Würde man stattdessen WDS verwenden wäre das nicht so.

 

[mikrotom]

Danke für Eure erklärende Antwort.