Wenn ich verhindern will, dass bei mir im Netz Geräte "nach Hause telefonieren" (dubiose chinesische Geräte, HP Drucker mit Cloud-Zwang etc.), reicht es dann aus, in der Fritzbox (hier 7590) explizit für diese Geräte die Option "Internetnutzung gesperrt" auszuwählen? Damit sind diese Geräte dann in meinem Netz eingesperrt?
:
Bearbeitet durch User
Zusätzlich kann man auch das Gateway am Gerät "Verbiegen" dann ist der Zugang auch weg.
Ich würde es eher anders herum konfigurieren. Nur den Geräten, den Du vertraust, den Zugriff erlauben. Aus Sicherheitsgründen ändern einige Geräte ihre Mac Adresse regelmäßig und erscheinen als neues Gerät. Besser: Die fraglichen Geräte in eine eigene Netzzone einsperren. Ich nutze unterschiedliche VLANs, sowie Access Points mit mehreren WLAN SSIDs für die Trennung. Allerdings sitzt bei mir hinter der nur PPPoE Gateway arbeitenden Fritz!Box noch eine Ubiquiti/Unifi Infrastruktur (Dreambox, Switches, Access Points, Kameras, etc.).
W.P. K. schrieb: > reicht es dann aus, in der Fritzbox (hier 7590) explizit für > diese Geräte die Option "Internetnutzung gesperrt" auszuwählen? Dann hatten sie jedenfalls schon Gelegenheit dazu; in der Zeit bevor Du die Option für das neue Gerät aktiviert hast. Und jedes Gerät kann der FB jederzeit vorgaukeln, ein neues Gerät zu sein, dann kann es sogar in aller Ruhe in den weiten des Internetz herumspazieren, bis Dir das vielleicht mal auffällt.
Hast du denn auch einen eigenen DNS-Server fuer dein Netz? Oder bedient deine "Box" alles? Also interne Anfragen, als auch Namensaufloesung fuer das Internet? Dann kann jedes Geraet, jedweden Traffic in DNS-Abfragen verpacken, und nach Hause tunneln.
Über "Zugangsprofil" funktioniert das ganz sicher und zuverlässig.
Das gehört für das Standardprofil gesperrt. Dann sind alle Geräte erstmal aus. Alles was man will packt man in ein neues Profil "Darf raus" und da erlaubt man was immer erforderlich ist, also Portsperre fast ganz zu. Ist bei Fritzen doof einzugeben weil man Sperren vergeben muss, also nicht "darf 80 und 443" sondern "sperrt 1-79, 81-442 und 444-65535". Wenn spezielle Anforderungen z.B. für Smarthome bestehen, macht man halt noch eine Gruppe und whitelistet (!) dort die erforderlichen Domains. Ansonsten ist jedes neue Gerät erstmal "drin" und macht schon mal was es will und nicht was es soll, und alte Geräte tauschen einfach mal die MAC und können auch alles.
Genau so! Habe ich seit Jahren so. Selbst wenn es jemand schaffen sollte sich anzumelden (geht auch nicht, weil nur eingetragene Geräte sich anmelden können), ist trotzdem kein Internetzugang gewährt.
Mmh ja, den Aspekt, dass ein Gerät das unbedingt ins Freie will, einfach mal (und wenn nur temporär) die MAC ändern kann, habe ich gar nicht im Blick gehabt. Zum Glück taucht das dann aber in der Fritzbox unter "Ungenutzte Verbindungen" auf - d.h. solche 'neuen' Geräte sollten verdächtig sein, sofern man nicht selber zum Zeitpunkt des ersten Auftauchens mit irgend etwas herumgebastelt hat. Die Zugangsprofile sind sicherlich die bessere Wahl, aber halt auch mit mehr (und vor allem wiederkehrendem) Aufwand verbunden. Thx
Wenn man sich vor Arglist schützen will und die bei Handys und Tablets verbreiteten regelmässigen MAC-Änderungen einplanen muss, kann man alternativ einen zweiten Fritz vorschalten und sicherstellen, dass alle potentiell kritischen Geräte dort anlanden. Egal ob per Kabel oder WLAN. Alles, was darüber läuft, kommt dank dessen NAT mit der IP des inneren Routers beim äusseren Router an, egal welche Spielchen ein Gerät treibt, und kann global über Filter des äusseren Routers behandelt werden. Geht natürlich nicht, wenn jedes Gerät sein eigenes Zugangsprofil kriegen soll. Wenn man aus dem Zwischennetz auf ein Gerät im inneren Netz will, etwa den Drucker, wird auf dem inneren Router Portforwarding nötig. Technisch kann das ein Restegerät sein, etwa ein alter Fritz aus dem Schrank. Oder so ungefähr jeder andere WLAN-Router.
:
Bearbeitet durch User
W.P. K. schrieb: > Zum Glück taucht das dann aber in der Fritzbox unter "Ungenutzte > Verbindungen" auf Nicht zwingend, ein richtig bösartiges Gerät könnte auch die MAC-Adresse eines anderen Geräts übernehmen - mit etwas Trickserei auch erst dann, wenn es gerade ziemlich sicher nicht im Netz hängt. Aber wenn man sich vor sowas schützen will, muss man schwerere Geschütze als eine Fritzbox auffahren. (prx) A. K. schrieb: > bei Handys und Tablets verbreiteten regelmässigen MAC-Änderungen Gibt es Geräte, die das einfach so tun? Android verwendet abgesehen von Sonderfällen Persistent Randomization, also eine feste Random MAC pro SSID. https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior
Beitrag #7619270 wurde vom Autor gelöscht.
In ebendiesem Link stehen beide Varianten, abhängig von Sonstwas. Hab das aber nicht bis ins Letzte untersucht, weil für mich falscher Ansatz. Die Liste der Geräte im Fritz legt nahe, dass das so festgenagelt nicht ist. Und wenn es nur ein WLAN ist, dass man auf dem Client rausgeworfen und wieder neu akzeptiert hat. Jedenfalls kommt es nicht darauf an, nach welchen wohlmeinenden Regeln sich der Client verhält, oder nicht verhält. Es sollte davon unabhängig sein, wenn man es ernst meint.
:
Bearbeitet durch User
(prx) A. K. schrieb: > In ebendiesem Link stehen beide Varianten, abhängig von Sonstwas. Ja, bei non-persistent MACs mit Abhängigkeiten der Kategorie "Sonderfälle". (prx) A. K. schrieb: > Und wenn es nur ein WLAN ist, dass man auf dem Client rausgeworfen > und wieder neu akzeptiert hat. Ist der einzige naheliegende Auslöser, den ich mir vorstellen könnte. Insbesondere durch den beliebten Hotline-Tip "Reset network settings", der unter anderem alle gespeicherten WLANs löscht. (prx) A. K. schrieb: > Jedenfalls kommt es nicht darauf an, nach welchen wohlmeinenden Regeln > sich der Client verhält, oder nicht verhält, wenn man in diese Richtung > denkt. Wenn man Filtering anhand der MAC-Adresse nutzt, ist es generell ratsam, die Geräte mit der echten MAC-Adresse connecten zu lassen, die übersteht auch einen Factory Reset.
W.P. K. schrieb: > Wenn ich verhindern will, dass bei mir im Netz Geräte "nach Hause > telefonieren" (dubiose chinesische Geräte, HP Drucker mit Cloud-Zwang > etc.), reicht es dann aus, in der Fritzbox (hier 7590) explizit für > diese Geräte die Option "Internetnutzung gesperrt" auszuwählen? Damit > sind diese Geräte dann in meinem Netz eingesperrt? Von den dubiosen chinesischen Geräten oder HP-Druckern werden die wenigsten eine veränderliche MAC-Adresse haben. Das gibt es eigentlich nur bei Handys. Daher reicht da die Sperre in der Box. Oliver
W.P. K. schrieb: > solche 'neuen' Geräte sollten > verdächtig sein Das ist richtig, aber wann kontrollierst du das? Alle 2 Stunden? Alle 2 Tage? Alle 2 Wochen? Bis dahin kann das Gerät erstmal den neuesten Firmwareupdate ziehen, der Benutzerkontenzwang und Donglisierung einführt, und außerdem nur noch bezahlte Funktionen erlaubt, zudem wer weiß welche Daten aus dem LAN einsammelt und wer weiß wohin schickt. W.P. K. schrieb: > halt auch mit > mehr (und vor allem wiederkehrendem) Aufwand verbunden Einmal einrichten für "PC". Darf Web, Mail und welche anderen Anwendungen auch immer man sonst hat (FTP, SSH). Jedem PC zuweisen, fertig. Einmal einrichten für Handy, darf Web, Mail, Whatsapp. Jedem Handy zuweisen, fertig. Einmal einrichten für Smarthome, darf http auf whitelist. Jedem Smarthomegerät zuweisen, fertig. Dann muss man nur noch dran, wenn ein neues Gerät ins Netz kommt, was üblicherweise ja nur selten mal vorkommt. Dafür kann ein "versehentlich" geteilter WLAN-Schlüssel keine Geräte mit vollzugriff erzeugen und auch das mal eben angesteckte dings macht erstmal nix. Kaum Aufwand, hohe Sicherheit. Und wenn man eine PC-Werkstatt für die Eltern hat, nutzt man dafür das Gastnetz, denn solche Geräte haben eh nichts im LAN verloren... Hmmm schrieb: > Android verwendet abgesehen von > Sonderfällen Persistent Randomization, also eine feste Random MAC pro > SSID. Zumindest Xiaomi Redmi Note 8T mit älterem Android hatten/haben mehrere MACs in meinem Router probiert, bevor ich das abgestellt hatte. Warum und wann kann ich nicht sagen, aber ich hatte ein Gerät ins WLAN gebucht und noch nicht weiter eingerichtet, es hat einfach 3 Tage im WLAN ohne Internet zugebracht und hinterher waren etliche unbekannte Geräte im ausschließlich für diesen Zweck und dieses eine Gerät vorgesehene Netz.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.