Ich habe mich aus Anlass einer bequemen Steuerung der Internetnutzung für die neue Funktion "Kindersicherung" der Fritzbox interessiert. Ich nutze die Fritzbox schon seit einigen Jahren und konnte die 7050 und die 7170 mit der jeweils aktuellen Firmware die die Kindersicherung enthält testen.
Ich gehe bei meinem Test davon aus das die Umgehungsversuche folgende Möglichkeiten beinhalten:
1. Ändern der IP-Adresse des Netzwerkadapters
2. Ändern des Windows-Netzwerknamens
3. Ändern der MAC-Adresse des Netzwerkadapters
Aufmerksam geworden bin auf die verschiedenen Umgehungsmöglichkeiten weil der augenblickliche Tip der auf dem Schulhof oder in Foren gehandelt wird ist:
"sich für die Fritzbox als Eltern zu erkennen geben".
Ich habe deshalb die Tests auf diese Lücken konzentriert, erwähne aber noch die anderen Möglichkeiten. Ich würde mich freuen über andere Lücken Berichte zu lesen weil es sicher im Interesse der Betroffenen ist wenn AVM sein Produkt zuverlässiger machen kann.
Bei dem Test der Umgehungsmöglichkeiten wird zunächst eine sichere Konfiguration der Fritzbox vorrausgesetzt. Ich gehe auch nur von der Einstellung oder Nutzung der Kindersicherung in der Fritzbox aus, nicht von dem zusätzlich zu installierenden Kindersicherungsprogramm bei gemeinsamer Nutzung des PCs. Wenn ein vollständiger Zugang zum PC besteht kann ohnehin alles deinstalliert oder deaktiviert werden inklusvie Bios-Schutz durch Entfernen der CMOS-Batterie!
-------------------------
Die Zugriffssteuerung oder Kindersicherung der Fritzbox benutzt eine Namensliste die sie aus dem Netzwerkzugriff der PCs auf die Fritzbox gewinnt. Diese Namesliste speichert auch die zugehörigen IP-Adressen zum Zeitpunkt wenn ein neuer Netzwerkname erscheint. Wird die IP-Adresse geändert, für den Fall einer festen IP-Adressvorgabe vom Adapter, wird auch die Adresse aktualisiert. Nur beim Zugriff über WLAN können andere MAC-Adressen ausgeschlossen werden aber ebenso ist es möglich den Namen und die IP-Adresse zu ändern.
Für den Zugriffschutz ist also nur relevant einen eindeutigen Namen zu verwenden.
In einem TCP/IP-Netzwerk kann eine Netzwerkadresse nur einmal verwendet werden. Ansonsten ist kein Netzwerkverkehr möglich. Gleichzeitig können jedoch zwei PCs im Netzwerk den gleichen Namen haben. Der später angeschlossene PCs bekommt dann eine Netzwerkwarnung. Zudem erlaubt die Fritzbox nur dem ersten PC die Zugriffsrechte mit dem zugehörigen Namen zu nutzen.
Aus diesen Eigenschaften kann folgende Konfiguration/Benutzung abgeleitet werden:
1. Der PC oder PCs der Eltern hat/haben einen eindeutigen Namen
2. Der PC oder PCs der Kinder hat/haben ebenso einen eindeutigen Namen
3. Der Internetzugang zu nicht bekannten PCs wird gesperrt
Die Namen werden der Namesliste bei Erstellen der Kindersicherung in der Fritzbox entnommen. IP-Adressen oder MAC-Adressen sind nicht relevant. Können ohnehin beliebig manipuliert werden.
Wichtig!
Wenn der PC der Eltern nicht mehr benutzt wird sollte der Internetzugang für den Namen des PCs der Eltern gesperrt werden!
Ansonsten wird die Lücke ausgenutzt das der PC-Name des Kindes in den der Eltern umbenannt wird und dann unabhängig von IP-Adresse oder MAC-Adresse mit diesen Rechten der Zugang ermöglicht wird.
Wenn vergessen wird den Namen wieder zurückzustellen, was unter Windows einen Neustart erfordert, bekommen die Eltern eine Netzwerkwarnung wenn beide PCs wieder im Netzwerk sind und der der Eltern der spätere ist.
Solange der PC der Eltern mit der Fritzbox verbunden ist ist eine doppelte Namensbenutzung ausgeschlossen.
Weiterhin sollte die Zugangskennung zum Internetanbieter sicher aufbewahrt werden. Ansonsten wird die Fritzbox einfach auf die Werkseinstellungen zurückgesetzt und die Zugangskennung wieder neu eingegeben. In diesem Fall ist das Password zurückgesetzt.
Ein kleiner Verlust des Komforts ist in diesem Fall das man selbst vor Herunterfahren des PC die Rechte beschneiden muss. Es hilft aber auch einfach sich selbst ein Kontingent einzurichten. Man kann dann an dessen Verbrauch die Ausnutzung dieser Lücke beobachten.
Würde mich über weitere Erfahrungsberichte mit dem Kinderschutz freuen.
Sorry, aber so kann der Kinderschutz ja nicht funktionieren. Wenn die HanswurschtBox am Namen des PCs festmachen will was der PC darf, dann lachen dich Heutzutage ja Vorschüler aus.
Eine Möglichkeit die annähernd als "funktionierend" bezeichnet werden kann ist, dass man den direkten Datenverkehr von Innen nach Aussen komplett sperrt und surfen nur über einen Proxy mit Authentifikation erlaubt. Dieser Proxy setzt dann die Berechtigungen durch.[1] Natürlich müssen brauchbare Passwörter gewählt werden und die Logs müssen trotzdem regelmässig durchgesehen werden.
Das was da so von AVM geboten wird ist schon konzeptionell ein Witz. Und nichtmal ein Guter.
Kindersicherung ist überwiegend ein soziales Problem und kann nicht zufriedenstellend mit Technik erschlagen werden. Wirklich hilft da nur dazusetzen und selbst kontrollieren was die Kids machen.
Ciao.
Markus Mann
];-)
[1] Diese Lösung hat den Vorteil, dass der Nachwuchs am PC einstellen kann was er will, er kann sich keine Rechte erschleichen. Aber das umzusetzen wird AVM zu hoch.
ja naturlich können mit Technik keine sozialen Probleme "erschlagen" werden!
Es gibt nur leider viele Versuchungen und Süchte denen nicht nur Erwachsene erliegen. Und oft war es nur ein kleiner Schlüssel der die Hürde etwas höher machte.
Nur so nett die die Technik von AVM daherkommt, da gebe ich dir Recht, sie ist weniger wert als ein simpler Schlüssel zur Hausbar.
Übrigens der Proxy sieht auch entweder nur die IP-Adresse, den Name oder die MAC-Adresse. Alles kann vorgetäuscht werden! Nur wenn ein Password gesetzt wird ist die Sperre oder das Kontingent sicher. Das wäre eine Art Benutzerverwaltung die AVM auch sicher realisieren könnte.
Alternativ wäre es auch sicher die Firmware des WLAN-Sticks FritzWLAN um eine Authentifizierung zu erweiteren die mit der Kindersicherung zusammenspielt. Viele gehem ja schon Kabellos in die Fritzbox.
Übrigens der Proxy sieht auch entweder nur die IP-Adresse, den Name oder die MAC-Adresse.
Ich sprach von Authentifikation, nicht Identifikation. Also Username und Passwort, sonst ist kein Surfen möglich.
Zitat von rf-design
Alles kann vorgetäuscht werden!
Ja, sogar ein richtiges Username/Passwort Paar aber das ist eine wesentlich höhere Hürde als der Computername oder IP oder MAC-Adresse.
Zitat von rf-design
Nur wenn ein Password gesetzt wird ist die Sperre oder das Kontingent sicher. Das wäre eine Art Benutzerverwaltung die AVM auch sicher realisieren könnte.
Genau davon habe ich geschrieben. Ist das so mistverständlich rübergekommen?
Zitat von rf-design
Alternativ wäre es auch sicher die Firmware des WLAN-Sticks FritzWLAN um eine Authentifizierung zu erweiteren die mit der Kindersicherung zusammenspielt.
Da weiß ich gerade nicht genau, was du meinst. Aber grundsätzlich gilt: Es bringt nichts einen Schutz am PC anbringen zu wollen. Der Schutz muss auf einer Instanz greifen auf die der zu schützende User keinen Zugriff hat. In diesem Fall also direkt am Router. Alles andere kann mit Knoppix umgangen werden.
die Funktion eines Proxy verstehe ich und das je nach Program das die Proxy-Funktion realisiert auch eine Benutzerverwaltung mit Rechten erstellt werden kann. Nur dieser Proxy braucht einen weiteren Computer der auch immer Online sein muss. Strombedarf, Kosten usw. wird sicher für die meisten nicht in Frage kommen.
Da viele eine Fritzbox haben ist wäre eine sichere Konfiguration der Fritzbox die wünschenswerte Lösung.
Hast Du dafür Vorschläge? Oder einen sicheren Tip? Das würde einige interessieren.
Da viele eine Fritzbox haben ist wäre eine sichere Konfiguration der Fritzbox die wünschenswerte Lösung.
Es gibt kein sichere Konfiguration der Fritzbox in dieser Hinsicht.
Aber nur für den Proxy müsste doch kein eigener Rechner laufen, das sollte ja sogar auf dem Router laufen (der ist ja ohnehin ein kleiner Computer), er müsste nix cachen, bräuchte also deshalb auch keine Festplatte.
Wenn die das nicht einbauen, dann bleibt nur eins: AVM freundlich zu sagen, dass sie sich die aktuell eingesetzte Kinder"sicherung" dorthin stecken können, wo die Sonne nie scheint. Aber das wird wohl nichts daran ändern.
... AVM freundlich zu sagen, dass sie sich die aktuell eingesetzte Kinder"sicherung" dorthin stecken können, wo die Sonne nie scheint. Aber das wird wohl nichts daran ändern.
AVM hört konstruktive Kritik nicht gerne. Ich hab denen auch mal was von der Qualität ihrer Modems an ADSL2+ geschrieben, auf diesem Ohr ist AVM taub.
In dem Fall sollte man AVM vom Markt verschwinden lassen. Schade, dass die DSL-Anbieter so viele Produkte von denen fast schon zwangsweise unters Volk bringen. Andererseits: Wie wenn nicht geschenkt, soll AVM sein Zeug sonst loswerden? ];-)
Es war mir irgendwie klar, dass sie sich für Götter der Kommunikationstechnik halten. Wieviele Götter leben gleich noch auf unserer Erde? In diesem Sinne: lasst auch AVM in den Himmel einziehen!
Es war mir irgendwie klar, dass sie sich für Götter der Kommunikationstechnik halten. Wieviele Götter leben gleich noch auf unserer Erde? In diesem Sinne: lasst auch AVM in den Himmel einziehen!
Fritzbox Kindersicherung Sicher Konfigurieren/Benutzen
Zitieren
Zitat von rf-design
