7490: lässt sich client IP-spoofing verhindern?

[tagore]

Fritzbox 4790, FW 6.90

Zwar lässt der DHCP-Server eine statische Zuordnung von MAC zu IP zu. Ebenso kann ich bestimmte Clients per Profil z.B. hinsichtlich der Nutzungszeit einschränken. Leider funktioniert das nur auf IP- und nicht auf MAC-Ebene.

Wie aber kann ich demnach verhindern, das ein gerade gesperrter LAN- oder WLAN - Client einfach eine andere (möglichst gerade unbenutzte) IP statisch einträgt ? (youtube ist voll von diesem "Geheimtrick")

Habe ich eine Einstellungsmöglichkeit übersehen, muss ich eine andere Firmware benutzen oder gar jeden Client zertifikatbasiert per VLAN anbinden... ?

 

[koyaanisqatsi]

Moins


Ist denn das Standardprofil auf...

Zeitraum
( ) Immer
(o) Nie
( ) Eingeschränkt

...?

 

[fritz-fuchs]

Ebenso kann ich bestimmte Clients per Profil z.B. hinsichtlich der Nutzungszeit einschränken. Leider funktioniert das nur auf IP- und nicht auf MAC-Ebene.

Ich bin mir nicht ganz sicher, ob ich deine Frage richtig verstanden habe und sie sich nur auf die Kindersicherung bzw. Zugangsprofile bezieht.
Wie kommst du darauf, dass der Profilfilter nur anhand der IP-Adresse (IPv4-Adresse) wirksam ist?
Die Fritzbox speichert zu jedem, ihr bekanntem Netzwerkgerät auch den Gerätenamen, die MAC-Adresse und die IPv6-Adresse des Gerätes ab. Ein ändern der IPv4-Adresse am Clienten von dynamisch auf statisch ändert nichts, da es trotzdem wiedererkannt wird. Der Profilfilter bleibt danach wirksam.

 

[Shirocco88]

Ein ändern der IPv4-Adresse am Clienten von dynamisch auf statisch ändert nichts, da es trotzdem wiedererkannt wird. Der Profilfilter bleibt danach wirksam.

Das ist IMHO pauschal so nicht für alle an Fritzbox angebundenen Geräte gültig;
Um welches Client-OS geht es ? Win-??, Android-??, IOS-??
Bei Nutzung von Windows als Client OS ist die Frage, ob" Fritz!Box-Kindersicherungs-software"
https://download.avm.de/fritzbox/tools/kindersicherung/de/FRITZ!Box-Kindersicherung_4_02_03.exe
installiert ?
Meine Erfahrung ist, dass die FritzBox-KiSi - wenn der Tipp von @koy nicht beachtet wird - leicht umgangen werden kann;
z.B. bei Android-Smartphones mit static-ip oder bei Windows-Rechner mit static-ip und deaktiviertem AVM-Service im Dienstemanager (Admin-Rechte erforderlich) , ...

 

[fritz-fuchs]

Den Tipp von @koyaanisqatsi habe ich nicht nochmal aufgeführt. Diese Einstellung stellt sicher, dass kein neuer Client automatisch Internetzugang erhält.

Mein Post bezog sich auf die FB 7490/7590. In meinem Netzwerk steht das Zugangsprofil für die meisten Clienten auf „unbeschränkt“. Beim PC (Windows 10) meiner Tochter steht es auf „Kindersicherung“ (siehe Bild). Die Fritz!Box-Kindersicherungs-Software ist dort nicht installiert. Der PC erhält vom Router per DHCP eine dynamische IP (immer die gleiche). Testweise habe ich am PC eine andere statische IP festgelegt. Danach hat die Kindersicherung weiterhin funktioniert, da der PC dem Router anhand seines Gerätenamens, MAC-Adresse etc. bekannt ist (Siehe Bild). Das gleiche Ergebnis habe ich bei einem Android-Tablet erzielt.

Sollte es einem Gerät, (wie auch immer) durch Ändern der IP-Adresse möglich sein, sich an der Kindersicherung vorbeizumogeln, greift die von koyaanisqatsi genannte Einstellung. Wie beschrieben war das in meinen Tests nicht möglich.