Auch wenn das hier vielleicht nicht die Ursache ist möchte ich noch einwerfen, dass einige Betriebssysteme randomisierte MAC-Adressen verwenden. Sieze z.B. diesen Artikel.
Ursprünglich wurde berichtet, dass iOS 14 alle 24 Stunden eine neue MAC Adresse verwendet. Dies scheint nicht korrekt zu sein und iOS 14 generiert beim ersten verbinden mit dem WLAN eine MAC Adresse und benutzt dann immer diese. Bei einer Beta-Version von iOS 14 wurde die Adresse tatsächlich in regelmässigen Abständen neu generiert. Dies würde natürlich WLANs mit Captive-Portal oder eben auch Kinder-Filter die Geräte anhand der MAC identifizieren ins leere laufen lassen. Auch Android hat so eine Funktion.
Selbst wenn iOS die MAC nicht mehr bei jedem verbinden mit einem WLAN ändert sondern für jedes WLAN eine generierte Adresse Speichert und diese beibehält so ist es trotzdem möglich durch zurücksetzen der Netzwerkeinstellung mit anschliessendem neuen verbinden mit dem WLAN zu ändern. Somit ist es einem Kind mit einem iOS Gerät durchaus möglich durch zurücksetzen der Netzwerkeinstellungen eine neue MAC zu generieren. Dadurch läuft die Filterung komplett ins leere.
Es nützt auch nichts, dass man dieses Verhalten in den Netzwerkeinstellungen pro Netzwerk deaktivieren kann weil das Kind mit Zugriff auf die Einstellungen das jederzeit auch deaktivieren kann. Ob man den Zugriff auf die Einstellungen unterbinden kann ist mir gerade nicht bekannt.
Jedenfalls ermöglichen diese Funktionen ein sehr einfaches umgehen von MAC-basierenden Filtern. Eine MAC ist halt nicht mehr wie früher statisch und nicht änderbar sondern ein konfigurierbarer Wert und damit nicht mehr als Identifikation für ein bestimmtes Gerät verwendbar. Die Zeiten sind vorbei.
Als Denkanstoss für IB-Software-Entwickler: Man könnte Geräte-Klassen definieren und diesen dann Berechtigungen wie Bandbreiten-Limits, Kinderschutz-Filter oder auch zeitliche Beschränkungen zuweisen. Unbekannten Geräten können dann einer der definierten Klassen zugewiesen werden. Dann könnte man für unbekannte Geräte standardmässig die Klasse mit den höchstmöglichen Einschränkungen zuweisen. Nur vertrauenswürdige Geräte (z.B. Laptop der Eltern, etc.) werden in andere Klassen umgeteilt. Diese sind ja fähig ihre Geräte statisch zu konfigurieren damit das Problem nicht auftritt.
Ein Kind könnte dann am Gerät die MAC beliebig ändern und würde immer in der eingeschränkten Klasse landen. Jemand der die MAC an seinem Gerät in einer weniger eingeschränkten Klasse ändert wäre dann halt selber schuld.
Natürlich könnte ein Kind auch die MAC eines bekannten Gerätes aus einer anderen Klasse ändern. Aber das geht theoretisch aktuell ja auch schon und erfordert deutlich mehr Know-How und führt ausserdem zu ganz offensichtlichen Störungen wenn das Gerät von dem die MAC geklont wurde dann auch noch genutzt wird.
So weit ich weiss haben Fritz! Boxen bereits eine ähnliche Klassifizierung und man kann unbekannte Geräte entsprechend "einsperren".
