Sch...Datenschutz und private WLAN-Adressen

Hallo,

es hat vor gar nicht so langer Zeit damit angefangen, dass bei einigen Samsung-Geräten bei uns in der Schule das WLAN nicht mehr funktionierte, bis wir herausgefunden haben, dass es daran lag, dass aus „Datenschutzgründen“ die Geräte jedes Mal eine andere MAC-Adresse vorgaukelten. Da der WLAN-Zugang über MAC-Filter funktioniert, hatten die natürlich keinen Zugriff mehr. OK, das bekamen wir in den Griff, indem wir den Kollegen gesagt haben, dass sie die Einstellung wieder ändern müssen.

Jetzt ist das Problem zu Hause angekommen. Wir haben eine FritzBox 7560, und weil es anders nicht klappt, arbeite ich mit Profilen zwecks Zeitbegrenzung des WLAN-Zugangs. Heute schaute ich mich mal um und stellte fest, dass mehrere Geräte mehrfach vorhanden waren, einige davon natürlich mit dem falschen Profil, nämlich „unbeschränkt“. Ich habe an den beiden Geräten meiner Tochter und auch an meinen beiden die Sache mit den privaten WLAN-Adressen abgeschaltet, und ich habe meiner Tochter auch gesagt, warum ich das mache.

Jetzt möchte ich aber gern meine FritzBox „bereinigen“, und ich komme damit nicht ganz klar.

Unter WLAN->Sicherheit hatte ich einige Geräte (z. B. die ganzen devolo-Geräte), die ich gar nicht mehr benutze. Die habe ich dort entfernt. Ebenso solche Geräte, die mir auf Anhieb nicht bekannt vorkamen. Sollte sich herausstellen, dass ich zu viel entfernt habe, ist das auch nicht so schlimm, die kann ich ja nachträglich wieder hinzufügen. So, die Einstellung dort war bis heute „Alle neuen WLAN-Geräte zulassen“, ich habe danach auf „WLAN-Zugang auf die bekannten WLAN-Geräte beschränken“ geändert. Aber was sind bekannte WLAN-Geräte?? Klingt jetzt blöd, aber namentlich bekannt oder MAC-Adresse bekannt? Denn ich habe danach zwei Änderungsnotizen von den beiden Geräten meiner Tochter bekommen, da stimmte der Name, aber es war wieder eine andere MAC-Adresse. DAS MÖCHTE ICH NICHT. Lässt sich das irgendwie ändern/vermeiden? Ich möchte, dass nur ihre beiden Geräte mit der „echten“ WLAN-Adresse sich verbinden können.

Beim Standard-Profil war alles erlaubt, nun habe ich alles verboten und den Geräten, die unbeschränkten Zugang bekommen sollen, einfach das Profil „Unbeschränkt“ zugeordnet.

Was mich auch stört ist, dass unter Internet->Filter->Kindersicherung noch die ganzen Devolo-Geräte aufgeführt werden, wie werde ich sie los?? Dort werden auch andere Geräte mit PC-192-168-178- (die Endziffern unterscheiden sich) aufgeführt, aber wie bekomme ich heraus, um welche Geräte es sich handelt? Es sind offensichtlich „namenslose“ Geräte, von denen die IP-Adresse als Name benutzt wird. Und es wird ein weiteres Gerät aufgeführt, das mit „PC-“ anfängt, aber der Rest sieht hier wie eine MAC-Adresse aus. Wie bekomme ich die Geräte raus aus der Liste?

Gruß
Christa

Egal.
Die FB zeigt dir die Geräte an, die mal mit ihr verbunden waren.
Ob du die entfernst oder stehen lässt, hat keine Auswirkungen.
Ein Gerät, dass du vermeintlich „aus dem Netz entfernst“ ist automatisch beim nächsten Verbinden wieder da.

AVM denkt, dass Kunden doof sind. Daher benutzen sie keine Fachbegriffe, die eindeutig definiert sind und jeder nach 10s Internetsuche verstehen würde, sondern so einen Laien-Scheiß.
Kurz gesagt: Das ist ein MAC-Adress-Filter. Und das so etwas oft untauglich ist, bemerkt man immer wieder.

Bei Androiden kannst du bei jedem einzelnen bekannten WLAN einstellen, ob du die MAC-Adresse des Geräts verwenden willst oder eine zufällige generieren willst.

Lasse nur „bekannte Geräte“ zu, ändere die Einstellung bei den Handys weise MAC-Adress-basiert Profile zu.

Oder mache es wie ein Bekannter: Der hat ein eigenes „Kinder-WLAN“ (zusätzlich zum Eltern-WLAN und Gäste-WLAN). Er hat dazu einen Hauptrouter, der baut das Kinder-WLAN mit Zeitsteuerung und das Gäste-WLAN auf. Die Kinder dürfen den WLAN-Schlüssel auch an Freunde weitergeben.

Als nächstes hängt hinter dem Hauptrouter ein zweiter Router, der sorgt für das Eltern-WLAN und daran hängen auch alle von den Eltern benutzen Geräte.
Gäste können nur ins Internet, Kinder nur während der erlaubten Zeiten ebenfalls nur ins Internet, die Eltern haben vollen Zugriff (auch auf Netzwerkfestplatte und Drucker), aber sowohl den Kindern als auch den Gästen ist der Zugang ins Elternnetz versperrt.

Aber verschwinden die nicht irgendwann aus der Liste? Sonst würde ja die Liste ewig lang werden …

Aber doch nur, wenn die Einstellung „Alle neuen WLAN-Geräte zulassen“ aktiv ist, und nicht bei „WLAN-Zugang auf die bekannten WLAN-Geräte beschränken“, oder??

Aber mit der obigen Einstellung hätte doch meine Tochter mit den beiden zufällig generierten MAC-Adressen nicht mehr reinkommen, oder ist es das, was du mit

meinst??

Ja, wie ich erwähnte, ist das bei den Apfelgeräten seit IOS 14 auch so.

Das habe ich, aber wie gesagt, trotzdem haben sich die beiden Geräte meiner Tochter mit demselben Namen aber mit neuen MAC-Adressen angemeldet, deswegen hatte ich Zweifel, dass sich „bekannte Geräte“ auf die MAC-Adresse bezieht. Denn wie konnte sie sich mit der „gewürfelten“ MAC-Adresse anmelden, wenn die Einstellungauf die bekannten WLAN-Geräte beschränken aktiv ist? Das ist das, was ich nicht verstehe!

Ich habe eine zweite (noch nicht eingerichtete) FritzBox, die will ich aber eigentlich im Gästezimmer anschließen, weil das WLAN im EG sehr bescheiden ist. Das Zimmer meiner Tochter ist aber, wie alles andere „Wichtige“, im OG, deswegen wird das mit dem extra Kinder-WLAN eher nicht gehen. Außerdem soll sie den Drucker durchaus benutzen dürfen. Sie druckt kaum etwas, meistens drucke ich für sie, aber die Möglichkeit soll durchaus bestehen.

MAC-Adressen sind für jegliche Authentifizierung untauglich.

Das ist nur seit der automatischen Vertauschung so richtig sichtbar geworden.

Eine einfache Lösung für dein Problem habe ich auch nicht, am ehesten so wie @X_Strom vorgeschlagen hat. So viel WLANs finde ich aber auch eher uncool…

Für meine/unsere Zwecke würden die aber vollkommen ausreichen, wenn’s so wie eigentlich vorgesehen funktionieren täte.

Die Aussage, dass „auf bekannte Geräte beschränken“ gleichbedeutend mit einem MAC-Adress-Filter sei, habe ich bei AVM gefunden:
https://avm.de/service/fritzbox/fritzbox-7560/wissensdatenbank/publication/show/250_WLAN-Zugang-auf-bekannte-Gerate-beschranken-MAC-Adressfilter/

Warum trotz Zufalls-MAC-Adresse der Zugang gewährt wurde: Frag bitte AVM, ich weiß es nicht.

Bitte prüfe nochmal, ob diese Einstellung wirklich übernommen wurde. Sollte AVM einen bekannten Gerätenamen zur Identifikation benutzen, wäre das krass. Der lässt sich ja noch leichter fälschen und ersetzen.

Wie sieht deine Idee einer Zeitbeschränkung aus, geht es um „Stunden pro Tag“ oder gibt es feste Uhrzeiten, zu denen das WLAN funktionieren soll?

Bei einem anderen Kunden läuft das ganz pragmatisch über einen WLAN-Access-Point, dessen Stromversorgung über eine Zeitschaltuhr geschaltet wird. Der erzeugt ein „Kinder-WLAN“, das sich im selben Netz wie das Erwachsenen-WLAN befindet, aber eigene SSID und Schlüssel besitzt.

Ich traue mich ja gar nicht, das zu fragen:
Eine IPv6 sieht bei nem flüchtigen Blick einer MAC sehr ähnlich. Könnte es sein, daß… Ne, oder?

Och, das habe ich gar nicht angezweifelt, ich hatte nur das Gefühl, dass es nicht wirklich funktioniert hat, deswegen hatte ich Zweifel daran, dass es richtig funktioniert.

Heute habe ich das Problem, dass der Zugriff auf die FritzBox-Oberfläche (über LAN!) teilweise sehr lange dauert. Aber ich habe keine Ahnung, woran das nun wieder liegt.

Wurde sie, sie ist jetzt immer noch so wie gestern zuletzt eingestellt. Trotzdem habe ich bei den Geräten die beiden Geräte meiner Tochter (wieder) doppelt drin. Aber unter WLAN->Sicherheit nicht, hmm …

Beides. Gewisser Zeitraum (7-20 Uhr) und innerhalb des Zeitraums max. 1,5 Stunden.

Na ja, sie ist 14, das mit der Zeitschaltuhr würde sie über kurz oder lang alleine hinbekommen. Sie zu umgehen, meine ich.

Und dennoch hast du es getan.

Aber nur bei einem SEHR flüchtigen Blick. Das angezeigte Gerät heißt PC-BC-F2-AF-C6-D5-A5.

Aha, ich habe gerade hier gesucht:
https://de.adminsub.net/mac-address-finder/bc:f2:af:c6:d5:a5
es ist wohl eines der (außer Betrieb genommenen) devolo-Geräte. Dann bin ich schon mal ein bisschen weiter.

Das mit den Geräten meiner Tochter werde ich im Auge behalten, bleibt dennoch die Frage

Ein Gerät scheint einer unserer Fernseher zu sein, weil meine Tochter mir heute sagte, dass beim Fernseher irgendeine Meldung mit WLAN kam, und dass sie ein Ticket einlösen könnte , hat für mich jetzt aber keine so hohe Priorität, bei Gelegenheit werde ich mir das mal anschauen. Es sind aber auch andere Geräte dort aufgeführt. Und kann ich diejenigen, von denen ich definitiv weiß, dass sie nicht mehr vorhanden sind/benutzt werden wirklich nicht aus der Liste entfernen??

Gruß
Christa

Wenn man dem Router die Gültigkeitsdauer der Adresszuweisungen (DHCP lease time) einstellen kann, dann würde ich diese Mal auf den Minimalwert setzen. Nach Ablauf dieser Zeit sollten die veralteten Einträge weg sein.

Einige neue Erkenntnisse:
https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/1067_Ist-das-WLAN-Funknetz-trotz-unbekannter-WLAN-Gerate-in-der-Benutzeroberflache-sicher/

WLAN-Geräte, deren Namen in diesen Listen mit „PC“ beginnen (z.B. „PC-00-23-14-DD-89-44“) und für die keine IP-Adressen angezeigt werden, konnten sich nicht mit dem richtigen WLAN-Netzwerkschlüssel bei der FRITZ!Box authentifizieren und hatten zu keinem Zeitpunkt Zugriff auf das Heimnetz und die Internetverbindung der FRITZ!Box.

Das finde ich interessant, denn als ich die Devolo-Geräte benutzt habe, bin ich durchaus der Meinung, dass sie auch alle verbunden waren. Nun ja, Geschichte …

https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/763_Fehlerhafte-oder-unbekannte-Eintrage-in-der-Liste-Gerate-und-Benutzer/
ist zwar für ein anderes Modell, aber ungefähr an der dort beschriebenen Stelle (bei mir ist es Heimnetz->Netzwerk->Netzwerkverbindungen) lassen sich die Geräte entfernen, die verschwinden dann auch an der anderen Stelle.

Hi!

Ja, das würde es erklären. Denn das Herstellen einer WLAN-Verbindung mit dem richtigen Passwort ist ja gleichbedeutend mit dem Einstöpseln eines Netzwerkkabels. Die Kommunikationsverbindung ist damit hergestellt.
Die grundlegende Kommunikation geschieht dann über die MAC, und erst an der Stelle stellt die FB dann fest, daß dieses Gerät laut MAC-Filter nicht rein darf. Das Gerät ist aber schon per WLAN verbunden, und taucht daher in den Einstellungen auf.
Erst, wenn das Gerät rein darf, gibt’s auch ne IP, und wenn das Gerät dann noch seinen Wunschnamen mitteilt, steht es auch damit in den Einstellungen.

Jetzt noch folgendes:
Der MAC-Filter wirkt ausschließlich auf’s WLAN, nicht auf per Kabel angeschlossene Geräte, und auch nicht auf Geräte im Gäste-WLAN.
Der Weiteren: Wenn ein Gerät per WLAN mit einem Accesspoint verbunden ist, der dann wieder per Kabel an der FB hängt, dann gilt das Gerät als per Kabel verbunden.

Das wird so gewesen sein. Beachte das „und“ im Text von AVM: Der Name beginnt mit „PC“ und es wird keine IP-Adresse angezeigt.

Sagte ich schon, dass ich diese Geräteübersicht von AVM für irreführend und wenig nützlich halte?

Welchen Nutzen biete ich dem Nutzer, wenn ich ihm einen vor fünf Jahren einmal im Netz befindlichen Computer anzeige und anbiete, ihn zu „entfernen“?
Warum schreibe ich nicht ganz deutlich:
Liste der jemals im Netz befindlichen Geräte, Gerätename, MAC-Adresse, IP-Adressen, zuletzt gesehen am TT-MM-JJJJ um HH:MM:SS Uhr.

Und bei den Geräten, die niemals im Netz waren, könnte doch deutlich stehen: „Erfolgloser Anmeldeversuch, zuletzt am … um … Uhr:“ Und wenn es gar keine Anmeldeversuche waren, sondern lediglich „gesehene“ Clients, dann interessiert das doch sowieso niemanden.

Ich sehe in dieser sogenannten Übersicht den Versuch, dem Besitzer der Box in Laiensprache mehr oder weniger sinnvolle Informationen zu geben - wobei man ihn in der Interpretation aber recht hilflos stehen lässt und mit diesem „Entfernen“ etwas in die Hand gibt, was dem Nutzer denken lässt, er könne oder müsse sogar damit unerwünschte Clients entfernen - beides ist nicht der Fall.

Die Geräte meiner Tochter sind ihr Handy und ihr Tablet, beide können sich nicht per Kabel verbinden, das, was du schreibst, ist mir durchaus bewusst.

Dessen Sinn entzieht sich mir auch, aber das Entfernen führt dazu, dass die Liste der „jemals angeschlossenen Geräte“ nicht ins Unendliche steigt.

Das sehe ich auch so!

Was ich mich aber frage, vielleicht hast du Infos dazu. Ich gestehe, ich war zu faul zu suchen. Die FritzBox benutzt „WPA2 (CCMP)“, Meine Apfelgeräte meldeten aber nach dem letzten Update, dass mein WLAN unsicher sei, und ich soll doch bitte schön WPA3 nutzen. Das wird jetzt interessanterweise nicht mehr angezeigt, aber ich war neulich bei meiner Mutter, sie hat einen Router von O2, der kann auch nur WPA2 (ob mit oder ohne CCMP weiß ich gerade nicht), und da kam auch die Meldung, das WLAN sei unsicher.

Jetzt habe ich doch gesucht …

Dort steht:
„Um den neuen Verschlüsselungsstandard zu aktivieren, benötigen Sie die aktuelle Fritz OS Version 7.20 oder neuer. Diese steht für alle aktuellen AVM-Produkte wie die FritzBox 7590 oder die FritzBox 7490 bereit.“

Wir haben aber eine wohl gar nicht aktuelle FritzBox 7560, und die scheint zurückgeblieben zu sein, denn sie zeigt mir aktuell:

grafik722×296 9.65 KB

Das ist doch doof, oder wie sehe ich das?

Nicht „Das“ ist doof, sondern eine Firma ist doof, die keine klare Updatepolitik hat.
Aus einem anderen Forum:
https://forum.golem.de/kommentare/applikationen/fritzos-7.20-die-160-mhz-ueberraschung/fritzbox-7560/136404,5706671,5706671,read.html

Die 7560 erscheint nicht in der „End of Maintenance“ / „End of Support“ Liste:
https://avm.de/service/ende-des-produktsupports-und-der-produktweiterentwicklung/fritzbox/

Sie erscheint aber auch nicht auf der aktuellen Webseite bei den Produkten:

Laut wikipedia ist die 7560 ein „aktuelles Modell“. Scheinbar ist die 7.12 aber wirklich die zur Zeit neueste Firmware.

Das finde ich „bemerkenswert“, es manisfestiert zudem meine Meinung über AVM: „FPAT“. Für Privatkunden ausreichende Technik.

Ja, WPA2 ist zu knacken. Das ist seit Jahren bekannt.
So what?

Deine Geräte kommunizieren sowieso nochmals verschlüsselt mit dem Internet. Die Frage ist: Was kann ein Angreifer in deinem Netz anstellen? Hast du Netzwerkfestplatten mit sensiblen Daten, auf die man ohne sicheres Passwort zugreifen kann?

Ja, das stimmt. Ich habe noch ein bisschen recherchiert und bin darauf gestoßen:

Aber dein Thread ist schon vor Juli, wie lange brauchen sie noch?? Anfang August wusste das der Support wohl auch noch nicht.

Bei deinem Forumslink stand, dass das für Mitte 2021 vorgesehen sei.

Ja, das war mir schon aufgefallen, nur nach EoM hatte ich noch nicht gesucht.

Es beunruhigt mich, wenn (einige meiner) Endgeräte dies monieren.

Vermutlich hat man Angst vor Schadenersatzklagen, wenn man es unterlässt, auf bessere Sicherheitsmaßnahmen hinzuweisen.

So? Was ist denn dann deiner Meinung nach eine bessere Wahl?

Für Privatkunden? Nix, da reicht das ja.

Firmenkunden kaufen Bintec, Cisco, Lancom, Viprinet, TDT, …

Als das BSI 2018 Mindestanforderungen für „sichere Heimnetzrouter“ erstellt hat, amüsierte sich die Fachwelt über diese primitiven Anforderungen. Rate mal, wie viele Router mit dem Logo von AVm oder der Telekom diese Mindestforderungen erfüllen - meines Wissens bislang kein einziger.

Nett. Das sind die mit den meisten Bugs überhaupt. Lies mal bei Heise Security mit. Oder bei Fefe.

Und das

ist nun wirklich die Lachnummer schlechthin. Die empfehlen immer noch die Verwendung von WPA:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Welche dieser Anforderungen erfüllen denn die Fritzboxen nicht? Und welcher deiner genannten Router erfüllt sie?

Btw.: die Telekom stellt gar keine Router her. Und deren Geräte sind genauso schlecht wie die Billigteile der Kabelanbieter.