Trotz änderung des Passwortes der Box und aller WiFi-Netzwerke ist es unserem Sohn gelungen, die Kindersicherung immer wieder zu deaktivieren. Habe keine Ahnung wie. Inputs?

Hallo @"RuediSch"#845573 Frage hast du die + Taste am Router deaktiviert? Wenn nein so kann man ganz normal, das Passwort zurück setzten und dann die Kindersicherung dekantieren. Gehe dazu beim Router auf WLAN und nehme den Hacken bei WPS raus. Logge dich auch und dann klickst du auf Passwort vergessen, wenn jetzt angezeigt wird das es nicht mehr geht dann hast du es richtig gemacht. Sonnst bringt er ein Bild wie du die + Taste drücken sollst und so kann dein Sohn das PW zurück setzten. Gruss Lorenz

@"RuediSch"#845573 ändert er tatsächlich über das Vorgenen wie von @"Lori-77"#338966 beschrieben das Passwort des Routers? Das müsstest du doch dann merken! Eine andere Möglichkeit: hat das Gerät z.B. einen WLAN und einen Lan-Anschluss, dann musst du beide Anschlussarten sperren, also für jede Schnittstelle die MAC-Adresse mit einem Kinderschutz versehen. Oder er kommt über einen dritten Zugriffspunkt (z.B. tethering mit Handy) ins Internet. Leider schreibst du rel. wenig zu den Umständen: \- wie stellst du fest, dass er den Kinderschutz umgeht? \- wird die Kindersicherung im Router deaktiviert? \- hat er wiederholten Zugriff auf den Router, mit Passwort ändern? \- usw....

Die Kindersicherung ist im Router für das entsprechende Gerät wieder ausgeschalten. Den WPS habe ich ausgeschalten. Er muss irgendwie Zugriff auf den Router haben... Ich habe den Zugriff auf die Access-Points auch mit der MAC-Adresse disabled. Auch das Swisscom-Account mit einem neuenen und sehr starken Passwort geschützt. Irgendwo muss da noch eine BackDoor sein, die ich nicht auf dem Radar habe.

Hallo @"RuediSch"#845573 Hast du auf einem Handy oder Tablet evt die Swisscom APP "Home" installiert? Das Tablet deiner Frau, oder dein Tablet welches du mal kurz auf dem Sofa liegen gelassen hast aus du auf das Örtchen musstest..... Über diese kann man auch den Kinderschutz deaktivieren Passwort ändern usw... ¨ Und das Router Passwort hast du auch geändert? Ist nämlich nicht das selbe wie das Swisscom Login. Gruss Lorenz

Vielleicht macht er auch ganz einfach dreist einen Hardwarereset mit der Büroklammer? Dann werden Routerpasswort und WLAN-Passwort inkl. Telefoneinstellungen wieder [automatisch geladen](https://community.swisscom.ch/t5/Router-Hardware/Wiederherstellung-Intenetbox-3/m-p/604452/highlight/false#M28388), die Kindersicherungseinstellungen sind dann aber weg? edit: wahrscheinlich eher nicht, die Kinderschutzfunktionen gehen ja auch unter Sicherheitseinstellungen, und die werden wieder automatisch geladen....

Habe nun den Zugriff für WLAN nur noch über bekannte MAC-Adresse erlaubt. Das WLAN der InternetBox2 disabled. WPS deaktiviert und alle Passworte neu gesetzt. Mal schauen...

Evtl. geht er auch via einem Smartphone oder dem WLAN des Nachbarn ins Internet...? Ich halte ohnehin nichts von elektronischem Jugendschutz. Wesentlich sinnvoller ist es, wenn die Eltern ihren Nachwuchs auf dem Weg zu einem verantwortungsvollen, kritischen und sicherheitsbewussten Umgang mit den modernen Medien begleiten und selbst mit gutem Beispiel vorangehen.

Da bin ich eigentlich einig mit Dir. Bringe dies mal einem 15 Jährigen pubertierenden bei.

Schwierig, ich weiss. Das wird sich aber auswachsen, im Normalfall 😉 Nochmals die Frage: Geht er wirklich nur übers WLAN ins Netz? Kann er nicht auch per Lan?

1\. Mal mit dem Sohn reden. Wird ja einen Grund haben, warum er nicht mehr ins Netz darf. 2\. Wenn das PW der Internet-Box geändert wurde (+ Änderung durch die + - Taste deaktiviert wurde) und kein Zugriff auf eine aktive Home-App besteht, sowie kein Zugang zum KuCe möglich ist, dann gibt es keine Möglichkeit mehr, auf den Router zuzugreifen. Man kann ja im Router auch schauen, welche Home - Apps überhaupt verbunden sind. 3\. Ist gibt wohl Programme, die die MAC-Adresse eines Gerätes ändern, so dass die Sperre ins leere läuft. Ist aber nicht ganz so einfach. 4\. Gibt es neben dem Router noch andere WLAN - Access - Points? Wie sind die gesichert?

Kindersicherung ausgehebelt ?

Kiockiongut23

Swisscom Home app

WalterB

Kiockiongut23

Kein grosses Problem das Passwort zu ändern, mit Eingabe beim Browser von 192.168.1.1 im eigenen Netzwerk und man kann ein anderes Passwort erstellen.

N.b. sieht bei den anderen Internet-Box auch so aus.

Kiockiongut23

Danke!!!!!!!

Kiockiongut23

hmm, habe ich gemacht, aber mein ursprüngliches Problem, dass ich mich auf der app bei "Kindersicherung" nicht mehr einloggen kann, bleibt. Ich will dort ja die diversen Zeitfenster für die Läppis ser Kinder festlegen

WalterB

Kiockiongut23 schrieb:

hmm, habe ich gemacht, aber mein ursprüngliches Problem, dass ich mich auf der app bei "Kindersicherung" nicht mehr einloggen kann, bleibt. Ich will dort ja die diversen Zeitfenster für die Läppis ser Kinder festlegen

Ja funktioniert es den direkt auch nicht mehr bei der Internet-Box?

Vielleicht beim App mal komplett Ab-und anmelden, oder sogar das App neu installieren.

SkyBeam

Auch wenn das hier vielleicht nicht die Ursache ist möchte ich noch einwerfen, dass einige Betriebssysteme randomisierte MAC-Adressen verwenden. Sieze z.B. diesen Artikel.

Ursprünglich wurde berichtet, dass iOS 14 alle 24 Stunden eine neue MAC Adresse verwendet. Dies scheint nicht korrekt zu sein und iOS 14 generiert beim ersten verbinden mit dem WLAN eine MAC Adresse und benutzt dann immer diese. Bei einer Beta-Version von iOS 14 wurde die Adresse tatsächlich in regelmässigen Abständen neu generiert. Dies würde natürlich WLANs mit Captive-Portal oder eben auch Kinder-Filter die Geräte anhand der MAC identifizieren ins leere laufen lassen. Auch Android hat so eine Funktion.

Selbst wenn iOS die MAC nicht mehr bei jedem verbinden mit einem WLAN ändert sondern für jedes WLAN eine generierte Adresse Speichert und diese beibehält so ist es trotzdem möglich durch zurücksetzen der Netzwerkeinstellung mit anschliessendem neuen verbinden mit dem WLAN zu ändern. Somit ist es einem Kind mit einem iOS Gerät durchaus möglich durch zurücksetzen der Netzwerkeinstellungen eine neue MAC zu generieren. Dadurch läuft die Filterung komplett ins leere.

Es nützt auch nichts, dass man dieses Verhalten in den Netzwerkeinstellungen pro Netzwerk deaktivieren kann weil das Kind mit Zugriff auf die Einstellungen das jederzeit auch deaktivieren kann. Ob man den Zugriff auf die Einstellungen unterbinden kann ist mir gerade nicht bekannt.

Jedenfalls ermöglichen diese Funktionen ein sehr einfaches umgehen von MAC-basierenden Filtern. Eine MAC ist halt nicht mehr wie früher statisch und nicht änderbar sondern ein konfigurierbarer Wert und damit nicht mehr als Identifikation für ein bestimmtes Gerät verwendbar. Die Zeiten sind vorbei.

Als Denkanstoss für IB-Software-Entwickler: Man könnte Geräte-Klassen definieren und diesen dann Berechtigungen wie Bandbreiten-Limits, Kinderschutz-Filter oder auch zeitliche Beschränkungen zuweisen. Unbekannten Geräten können dann einer der definierten Klassen zugewiesen werden. Dann könnte man für unbekannte Geräte standardmässig die Klasse mit den höchstmöglichen Einschränkungen zuweisen. Nur vertrauenswürdige Geräte (z.B. Laptop der Eltern, etc.) werden in andere Klassen umgeteilt. Diese sind ja fähig ihre Geräte statisch zu konfigurieren damit das Problem nicht auftritt.

Ein Kind könnte dann am Gerät die MAC beliebig ändern und würde immer in der eingeschränkten Klasse landen. Jemand der die MAC an seinem Gerät in einer weniger eingeschränkten Klasse ändert wäre dann halt selber schuld.

Natürlich könnte ein Kind auch die MAC eines bekannten Gerätes aus einer anderen Klasse ändern. Aber das geht theoretisch aktuell ja auch schon und erfordert deutlich mehr Know-How und führt ausserdem zu ganz offensichtlichen Störungen wenn das Gerät von dem die MAC geklont wurde dann auch noch genutzt wird.

So weit ich weiss haben Fritz! Boxen bereits eine ähnliche Klassifizierung und man kann unbekannte Geräte entsprechend "einsperren".

hed

Statt auf technische Sperren zu setzen ist es sinnvoller, wenn man Kinder und Jugendliche auf dem Weg zu verantwortungs- und sicherheitsbewussten Nutzern der modernen Medien begleitet.

SkyBeam

Ich habe nie etwas anderes behauptet. Aber es gibt sehr viele Einsatzmöglichkeiten für Traffic-Klassifizierung anhand von Geräte-Typen oder Benutzer-Klassen. Dazu gehören Bandbreiten-Limit, Priorisierung und Sicherheit bzw. Zugriff auf bestimmte Netz-Ressourcen.

Medienkompetenz hingegen fördert man nicht durch Einschränkungen. Ausserdem werden die Kinder entsprechende Einschränkungen schneller umgehen als die Eltern diese konfigurieren können oder herausfinden wie die Kinder jetzt die Einschränkungen umgangen haben da diese meist sehr früh kompetenter sind als ihre Eltern auf diesem Gebiet. Man lässt sich also auf ein Katz- und Maus-Spiel ein das man nicht gewinnen kann.

Hab' ich auch hier nochmals bekräftigt.

Trotzdem gibt es durchaus sinnvolle Einsatzmöglichkeiten für Traffic-Klassifizierung und Fritz!OS setzt das auch um. Traffic-Shaping und ACLs sind kein Hexenwerk.

hed

Alles korrekt, aber in diesem Thread geht es ausschliesslich um das Thema Kindersicherung.

Deine wertvollen zusätzlichen Infos wären aber sicher sehr gut für die Wissensbox, FAQ, Tips&Tricks...

kaetho

Genau, es geht um das Thema Kinderschutz auf der IB und wie man das in Zukunft besser lösen könnte.

Der Weg über die Mac-Adresse Geräte zu begrenzen scheint veraltet zu sein. Der umgekehrte Weg (Geräte aufgrund der Mac-Adresse freigeben) scheint künftig zielführender.

hed

Bei Geräten mit dyn. MAC hilft auch die Freigabestrategie nicht weiter.

kaetho

Doch, sicher. Die Dyn. MAC ist eine "unbekannte" Adresse, d.h. sie ist nicht von mir autorisiert, die ganze Zeit oder die volle Bandbreite zu nutzen, bis hin zu "du kommst hier nicht rein". Die Wahrscheinlichkeit ist so rel. klein, dass ein "fremdes" Gerät dieselbe MAC-Adresse erhält wie ein von mir bereits freigegebenes. Und wenn es denn so wäre, soll die IB dem zweiten gerät "eins auf die Finger hauen" und dieses komplett sperren.

Und man muss halt etwas flexibler denken: es genügt nicht mehr, die Authentifizierung rein über die MAC-Adresse zu machen. Da muss halt auch die IP und der Gerätenamen (oder andere gerätespezifische Merkmale) miteinbezogen werden.

SkyBeam

Die IP kann man natürlich nicht als Geräteidentifikation hinzu nehmen denn die ist dynamisch und noch schlimmer sogar abhängig von der MAC da der DHCP-Server die Clients anhand der MAC erkennt.

Ein Gerät mit geklonter MAC zu erkennen ist für die IB generell erstmal nicht möglich. Das mit dem "auf die Finger klopfen" wenn ein Gerät eine bereits benutzte MAC verwendet ist also schwer da die IB gar nicht erkennen kann ob es sich um das legitime oder das geklonte Gerät handelt. Beim DHCP Request könnte man tatsächlich noch den Hostnamen einbeziehen.

Wenn ein Gerät aber eine geklonte MAC benutzt führt dies aber generell zu Kommunikationsproblemen. Ausserdem ist dieses Risiko schon eher gering denn um eine benutzerdefinierte MAC zu setzen braucht man weitgehende Rechte auf Systemebene.

Hier geht es ja darum, dass Geräte die ihre MAC selbständig (zufällig) ändern oder sich beim verbinden mit dem Netzwerk einmalig eine zufällige MAC generieren verwaltet werden können.

Und dann reicht es vollständig wenn man alle "unbekannten" Geräte erstmal in eine eigene Klasse schieben kann (z.B. nur HTTP(S) Zugriff mit max. 1Mbps Bandbreite). Die Geräte lassen sich dann manuell in eine Andere Gruppe zuweisen was dann auch kein Problem ist weil die Geräte die ich in eine andere Gruppe stecke kann ich auch so konfigurieren, dass ihre MAC eben nicht ändert - eben halt "meine" Geräte bzw. vertrauenswürdige Geräte.

Angriffs- oder Aushebelungs-Versuche durch den Nachwuchs oder Geräte die ihre MAC dauernd ändern landen somit automatisch in der "Sandbox" und da kommen sie erst wieder raus wenn sie sich an die Spielregeln halten.

Das mache ich in meinen Netzen schon seit Jahren so und funktioniert prima. Lässt sich auch mit 802.1x Authentication verbinden und die Geräte automatisch in "trusted" Klassen umsortieren wenn sie entsprechend authentisiert und autorisiert sind.

kaetho

Wieso könnte man nicht die IP zusätzlich nehmen? MAC und IP müssen dann halt zusammenpassen, sonst wird man nicht "authorisiert". Dieser Check müsste dann die IB übernehmen.

Klar, aushebeln kann man das immer noch, wird aber bereits schwieriger. Und was hindert die IB daran, anhand der MAC-Adresse "auf die Finger zu kloppen"? Es ist dann eigentlich egal, ob das das richtige oder falsche Gerät ist, es ist einfach das zweite Gerät, das sich mit einer bereits vorhandenen MAC-Adresse anmelden will.

Aber schon klar, jeder hat da seine eigenen Vorstellungen wie etwas funktionieren müsste 😉

Ich bin froh, dass meine Kids alle aus dem Alter raus sind, so komme ich nicht mehr in Versuchung, da was einschränken zu wollen. Das Gerät bei übermässigem Konsum mal eine gewisse Zeit "wegsperren" war eh wirksamer als der "Kinderschutz". 😉

kaetho

@SkyBeam schrieb:

...um eine benutzerdefinierte MAC zu setzen braucht man weitgehende Rechte auf Systemebene....

Anmerkung: du kennst BYOD? Es gibt nichts Lästigeres und Bevormundenderes, wenn man auf seinem eigenen Gerät keine lokalen Adminrechte hat.

SkyBeam

@kaetho schrieb:

Wieso könnte man nicht die IP zusätzlich nehmen?😉

Weil die IP nicht vom Client gewählt wird sondern vom Server. Und dieser identifiziert anhand der MAC ob dieser Client schon früher eine IP hatte und offeriert diesem wieder die gleiche.

Der Router (bzw. DHCP Server) kann also gar nicht wissen, dass die zweite Anfrage (mit gleicher MAC, am gleichen Ethernet/WLAN Port) ein anderes Gerät ist und offeriert auch wieder die gleiche IP. So funktioniert DHCP nun mal.

SkyBeam

@kaetho schrieb:

Anmerkung: du kennst BYOD? Es gibt nichts Lästigeres und Bevormundenderes, wenn man auf seinem eigenen Gerät keine lokalen Adminrechte hat.

Kenne ich. Ist aber nicht immer sinnvoll. Nicht alle von uns sind Techies und brauchen Admin-Rechte. Es gibt Benutzer die sind total Happy wenn sie nur ihre Anwendungen starten müssen und jemand anders garantiert, dass das auch funktioniert und sie sich nicht um Updates, Patches, Treiber-Probleme, Tool-Suche, Lizenzierung usw. kümmern müssen.

Ich arbeite beruflich bei meinem Arbeitgeber gerne mit einem Fully-Managed Gerät. Dann muss ich mich auch nicht darum kümmern wer jetzt schuld ist wenn das Gerät nicht tut oder einen Hardware-Defekt hat. Wird durch den Arbeitgeber verwaltet und getauscht.

Aber das ist hier OT und trägt nicht zur Diskussion bei. Ausser vielleicht... Überall wo ich Geräte installiere hat jedes Familienmitglied sein eigenes Benutzerkonto. Keiner davon ist ein Administrator-Konto. Das Passwort dafür kennen meistens nur die Eltern. Das funktioniert in der Regel sehr gut.

Bei iOS wirst du vom Hersteller höchstpersönlich entmündigt. Meines Wissens nach kannst du auf iOS Geräten ohne Jailbreak die MAC Adresse nicht selber bestimmen und ohne root-Zugriff kannst du daran auch nichts ändern. Damit wäre es recht unwahrscheinlich, dass der Nachwuchs eine geklonte MAC auf so einem Gerät verwendet.

« Pagina precedente