Forum: Haus & Smart Home Für einzelne Geräte den Internetzugang nach außen in der Fritzbox abschalten - sicher genug?

Zusätzlich kann man auch das Gateway am Gerät "Verbiegen" dann ist der 
Zugang auch weg.

Ich würde es eher anders herum konfigurieren. Nur den Geräten, den Du 
vertraust, den Zugriff erlauben. Aus Sicherheitsgründen ändern einige 
Geräte ihre Mac Adresse regelmäßig und erscheinen als neues Gerät.

Besser: Die fraglichen Geräte in eine eigene Netzzone einsperren. Ich 
nutze unterschiedliche VLANs, sowie Access Points mit mehreren WLAN 
SSIDs für die Trennung. Allerdings sitzt bei mir hinter der nur PPPoE 
Gateway arbeitenden Fritz!Box noch eine Ubiquiti/Unifi Infrastruktur 
(Dreambox, Switches, Access Points, Kameras, etc.).

W.P. K. schrieb:
> reicht es dann aus, in der Fritzbox (hier 7590) explizit für
> diese Geräte die Option "Internetnutzung gesperrt" auszuwählen?

Dann hatten sie jedenfalls schon Gelegenheit dazu; in der Zeit bevor Du 
die Option für das neue Gerät aktiviert hast.

Und jedes Gerät kann der FB jederzeit vorgaukeln, ein neues Gerät zu 
sein, dann kann es sogar in aller Ruhe in den weiten des Internetz 
herumspazieren, bis Dir das vielleicht mal auffällt.

Hast du denn auch einen eigenen DNS-Server fuer dein Netz?
Oder bedient deine "Box" alles? Also interne Anfragen, als auch
Namensaufloesung fuer das Internet?

Dann kann jedes Geraet, jedweden Traffic in DNS-Abfragen
verpacken, und nach Hause tunneln.

Über "Zugangsprofil" funktioniert das ganz sicher und zuverlässig.

Das gehört für das Standardprofil gesperrt.
Dann sind alle Geräte erstmal aus.
Alles was man will packt man in ein neues Profil "Darf raus" und da 
erlaubt man was immer erforderlich ist, also Portsperre fast ganz zu. 
Ist bei Fritzen doof einzugeben weil man Sperren vergeben muss, also 
nicht "darf 80 und 443" sondern "sperrt 1-79, 81-442 und 444-65535".

Wenn spezielle Anforderungen z.B. für Smarthome bestehen, macht man halt 
noch eine Gruppe und whitelistet (!) dort die erforderlichen Domains.

Ansonsten ist jedes neue Gerät erstmal "drin" und macht schon mal was es 
will und nicht was es soll, und alte Geräte tauschen einfach mal die MAC 
und können auch alles.

Genau so!
Habe ich seit Jahren so.
Selbst wenn es jemand schaffen sollte sich anzumelden (geht auch nicht, 
weil nur eingetragene Geräte sich anmelden können), ist trotzdem kein 
Internetzugang gewährt.

Mmh ja, den Aspekt, dass ein Gerät das unbedingt ins Freie will, einfach 
mal (und wenn nur temporär) die MAC ändern kann, habe ich gar nicht im 
Blick gehabt. Zum Glück taucht das dann aber in der Fritzbox unter 
"Ungenutzte Verbindungen" auf - d.h. solche 'neuen' Geräte sollten 
verdächtig sein, sofern man nicht selber zum Zeitpunkt des ersten 
Auftauchens mit irgend etwas herumgebastelt hat.
Die Zugangsprofile sind sicherlich die bessere Wahl, aber halt auch mit 
mehr (und vor allem wiederkehrendem) Aufwand verbunden.
Thx

Wenn man sich vor Arglist schützen will und die bei Handys und Tablets 
verbreiteten regelmässigen MAC-Änderungen einplanen muss, kann man 
alternativ einen zweiten Fritz vorschalten und sicherstellen, dass alle 
potentiell kritischen Geräte dort anlanden. Egal ob per Kabel oder WLAN.

Alles, was darüber läuft, kommt dank dessen NAT mit der IP des inneren 
Routers beim äusseren Router an, egal welche Spielchen ein Gerät treibt, 
und kann global über Filter des äusseren Routers behandelt werden. Geht 
natürlich nicht, wenn jedes Gerät sein eigenes Zugangsprofil kriegen 
soll.

Wenn man aus dem Zwischennetz auf ein Gerät im inneren Netz will, etwa 
den Drucker, wird auf dem inneren Router Portforwarding nötig.

Technisch kann das ein Restegerät sein, etwa ein alter Fritz aus dem 
Schrank. Oder so ungefähr jeder andere WLAN-Router.

W.P. K. schrieb:
> Zum Glück taucht das dann aber in der Fritzbox unter "Ungenutzte
> Verbindungen" auf

Nicht zwingend, ein richtig bösartiges Gerät könnte auch die MAC-Adresse 
eines anderen Geräts übernehmen - mit etwas Trickserei auch erst dann, 
wenn es gerade ziemlich sicher nicht im Netz hängt.

Aber wenn man sich vor sowas schützen will, muss man schwerere Geschütze 
als eine Fritzbox auffahren.

(prx) A. K. schrieb:
> bei Handys und Tablets verbreiteten regelmässigen MAC-Änderungen

Gibt es Geräte, die das einfach so tun? Android verwendet abgesehen von 
Sonderfällen Persistent Randomization, also eine feste Random MAC pro 
SSID.

https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior

In ebendiesem Link stehen beide Varianten, abhängig von Sonstwas. Hab 
das aber nicht bis ins Letzte untersucht, weil für mich falscher Ansatz.

Die Liste der Geräte im Fritz legt nahe, dass das so festgenagelt nicht 
ist. Und wenn es nur ein WLAN ist, dass man auf dem Client rausgeworfen 
und wieder neu akzeptiert hat.

Jedenfalls kommt es nicht darauf an, nach welchen wohlmeinenden Regeln 
sich der Client verhält, oder nicht verhält. Es sollte davon unabhängig 
sein, wenn man es ernst meint.

(prx) A. K. schrieb:
> In ebendiesem Link stehen beide Varianten, abhängig von Sonstwas.

Ja, bei non-persistent MACs mit Abhängigkeiten der Kategorie 
"Sonderfälle".

(prx) A. K. schrieb:
> Und wenn es nur ein WLAN ist, dass man auf dem Client rausgeworfen
> und wieder neu akzeptiert hat.

Ist der einzige naheliegende Auslöser, den ich mir vorstellen könnte. 
Insbesondere durch den beliebten Hotline-Tip "Reset network settings", 
der unter anderem alle gespeicherten WLANs löscht.

(prx) A. K. schrieb:
> Jedenfalls kommt es nicht darauf an, nach welchen wohlmeinenden Regeln
> sich der Client verhält, oder nicht verhält, wenn man in diese Richtung
> denkt.

Wenn man Filtering anhand der MAC-Adresse nutzt, ist es generell ratsam, 
die Geräte mit der echten MAC-Adresse connecten zu lassen, die übersteht 
auch einen Factory Reset.

W.P. K. schrieb:
> Wenn ich verhindern will, dass bei mir im Netz Geräte "nach Hause
> telefonieren" (dubiose chinesische Geräte, HP Drucker mit Cloud-Zwang
> etc.), reicht es dann aus, in der Fritzbox (hier 7590) explizit für
> diese Geräte die Option "Internetnutzung gesperrt" auszuwählen? Damit
> sind diese Geräte dann in meinem Netz eingesperrt?

Von den dubiosen chinesischen Geräten oder HP-Druckern werden die 
wenigsten eine veränderliche MAC-Adresse haben. Das gibt es eigentlich 
nur bei Handys.

Daher reicht da die Sperre in der Box.

Oliver

W.P. K. schrieb:
> solche 'neuen' Geräte sollten
> verdächtig sein

Das ist richtig, aber wann kontrollierst du das?
Alle 2 Stunden? Alle 2 Tage? Alle 2 Wochen?
Bis dahin kann das Gerät erstmal den neuesten Firmwareupdate ziehen, der 
Benutzerkontenzwang und Donglisierung einführt, und außerdem nur noch 
bezahlte Funktionen erlaubt, zudem wer weiß welche Daten aus dem LAN 
einsammelt und wer weiß wohin schickt.

W.P. K. schrieb:
> halt auch mit
> mehr (und vor allem wiederkehrendem) Aufwand verbunden

Einmal einrichten für "PC". Darf Web, Mail und welche anderen 
Anwendungen auch immer man sonst hat (FTP, SSH). Jedem PC zuweisen, 
fertig.
Einmal einrichten für Handy, darf Web, Mail, Whatsapp. Jedem Handy 
zuweisen, fertig.
Einmal einrichten für Smarthome, darf http auf whitelist. Jedem 
Smarthomegerät zuweisen, fertig.
Dann muss man nur noch dran, wenn ein neues Gerät ins Netz kommt, was 
üblicherweise ja nur selten mal vorkommt.

Dafür kann ein "versehentlich" geteilter WLAN-Schlüssel keine Geräte mit 
vollzugriff erzeugen und auch das mal eben angesteckte dings macht 
erstmal nix.
Kaum Aufwand, hohe Sicherheit. Und wenn man eine PC-Werkstatt für die 
Eltern hat, nutzt man dafür das Gastnetz, denn solche Geräte haben eh 
nichts im LAN verloren...

Hmmm schrieb:
> Android verwendet abgesehen von
> Sonderfällen Persistent Randomization, also eine feste Random MAC pro
> SSID.

Zumindest Xiaomi Redmi Note 8T mit älterem Android hatten/haben mehrere 
MACs in meinem Router probiert, bevor ich das abgestellt hatte.
Warum und wann kann ich nicht sagen, aber ich hatte ein Gerät ins WLAN 
gebucht und noch nicht weiter eingerichtet, es hat einfach 3 Tage im 
WLAN ohne Internet zugebracht und hinterher waren etliche unbekannte 
Geräte im ausschließlich für diesen Zweck und dieses eine Gerät 
vorgesehene Netz.