Fritzbox 7590 LAN Ports sperren bzw. an MAC Adresse binden

rudi2006

Neuer User
Mitglied seit
22 Sep 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich möchte meine LAN Ports jeweils an eine bestimmte MAC Adresse binden oder wie beim WLAN, keine neuen Geräte zulassen.
Grund:
Die Kindersicherung greift an den LAN Ports nicht, wenn die MAC Adresse geändert wird.

Hat jemand einen Lösungsvorschlag?
 
Zuletzt bearbeitet:

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
5,015
Punkte für Reaktionen
362
Punkte
83
Einen managemend Switch
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
4,794
Punkte für Reaktionen
35
Punkte
48
Fritzbox in eine abschließbare Kiste?
Ich sehe die Kindersicherung sowieso kritisch, lässt sich viel zu einfach austricksen wenn die Kinder schlau genug sind. Hilft also nur bedingt und ersetzt nicht die Aufsicht.
 

rudi2006

Neuer User
Mitglied seit
22 Sep 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Die Fritzbox einzuschliessen scheint wohl derzeit die sicherste Lösung zu sein. Der Switch wird ja auch per LAN-Kabel zur Fritzbox verbunden, daher bringt Port Security mit einem Switch leider auch keine sichere Lösung.
@erik Wie umgehen denn Deine Kinder die Kindersicherung im WLAN? Im WLAN ist die meiner Meinung nach sicher.
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
4,794
Punkte für Reaktionen
35
Punkte
48
Meine brauchen keine Kindersicherung mehr.
Einen AP statt dem Fernseher anstecken z.B.
Aufsicht ist notwendig
 

rudi2006

Neuer User
Mitglied seit
22 Sep 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ein zusätzlicher Access Point ist keine Lösung. Ich möchte die MAC Adressen für die LAN Ports sperren bzw. zulassen. Bei WLAN funktioniert das ja auch.
@erik Elektronische Lösungen können nie die Aufsichtspflicht ersetzen, aber darum geht es auch nicht.
 

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,276
Punkte für Reaktionen
206
Punkte
63
Geht nicht, kannst aber sagen neue Geräte sind gesperrt. Wenn Kind also meint die Sperre umgehen zu wollen mit neuer MAC ist Internet immer und sofort gesperrt.

MAC Filter sind also eher nur Problemfaktor und keine Lösung für irgendwas.
 

rudi2006

Neuer User
Mitglied seit
22 Sep 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Neue Geräte sperren funktioniert nur mit WLAN nicht bei den LAN-Ports. Warum sind MAC Filter ein Problemfaktor? Port Security bei professionellen Switchen funktioniert auch nur über die MAC Adresse..
 

erik

IPPF-Promi
Mitglied seit
30 Nov 2004
Beiträge
4,794
Punkte für Reaktionen
35
Punkte
48
Der extra AP war die Antwort auf "wie umgehen deine Kinder die Kindersicherung im WLAN"
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,236
Punkte für Reaktionen
774
Punkte
113
Port Security bei professionellen Switchen funktioniert auch nur über die MAC Adresse.
Wäre das tatsächlich so (und zwar auch heute noch, denn "in der Steinzeit" der Ethernet-Security gab es solche - doch arg beschränkten - Geräte tatsächlich mal), wäre es heutzutage eben auch sehr leicht zu umgehen. Eine MAC-Adresse läßt sich sehr einfach fälschen und heutzutage bringt fast jedes OS von sich aus die notwendigen Werkzeuge mit.

Aber i.d.R. wird bei Profi-Geräten mit PortSecurity-Funktionen tatsächlich - und zwar auch erst einmal unabhängig von der MAC-Adresse des angeschlossenen Clients - beim Herstellen einer Ethernet-Verbindung (vulgo: beim Einstecken des Kabels) ein separates VLAN aktiviert, in dem dann eine 802.1x-basierte Authentifizierung des Clients erfolgen kann/muß und in Abhängigkeit von deren Ergebnis wird dann der Client in ein anderes passendes VLAN gesteckt oder meinetwegen der Port auch komplett gesperrt.

Auch ein zugelassener Client muß sich aber an so einem Switch nach dem Wiederherstellen der Ethernet-Verbindung erst einmal neu authentifizieren ... dazu braucht's dann wieder die 802.1x-basierte Zugangskontrolle und die Kenntnis der richtigen Daten seitens des Clients. Eine "nur über die MAC-Adresse" (s.o. Zitat) realisierte "Port Security"-Funktion verdient diesen Namen nicht ... und hält auch keinen Teenager ab, der es wirklich ernst meint und ohnehin über die "Kindersicherung" nur milde lächeln kann.

Ansonsten ist die beste "Port Security" immer noch ein passabler Zutrittsschutz, der den direkten Zugriff auf Ports und Kabel verhindert ... schon wenn man einen Ethernet-Hub zwischen die Box und einen "genehmigten" Client einschleifen kann (wo auch immer auf der Strecke das dann der Fall ist), ist ein Mitschnitt und damit die Suche nach der "richtigen" MAC-Adresse wieder möglich. Das größte Problem wäre es für einen Newcomer heutzutage vermutlich, noch irgendwo einen Ethernet-Hub zu finden ... aber ein Switch mit Port-Mirroring kann das auch.
 

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,276
Punkte für Reaktionen
206
Punkte
63
@rudi2006 Ich habe nicht zum MAC Sperre gesprochen sondern von Filter/Kindersicherung. Da einfach Standard sperren, gilt für alle neuen Geräte die also durch andere MAC erzeugt werden.
 

rudi2006

Neuer User
Mitglied seit
22 Sep 2009
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
@HabNeFritzbox Was sperrt denn deiner Meinung nach die Kindersicherung? Meiner Meinung nach die MAC Adresse, aber nur im WLAN.
@PeterPawn Wir haben es hier mit einem HP Procurve ausprobiert. Gleiche MAC-Adresse an gleichen Port funktioniert. Andere MAC-Adresse und der Port wird gesperrt und muss über den Switch wieder entsperrt werden. Wir testen mal weiter rum welche Einstellungen wir noch haben um es sicherer zu machen.
 

HabNeFritzbox

IPPF-Urgestein
Teammitglied
Mitglied seit
12 Dez 2017
Beiträge
15,276
Punkte für Reaktionen
206
Punkte
63
Kindersicherung/Filter betrifft ganze Heimnetz und bezieht sich auf Internet, Netzwerk geht immer.

WLAN Mac Sperre verwirfft alle Datenpakete, da bekommst entsprechend keine IP und keine Netzwerkdaten.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,125
Beiträge
2,030,438
Mitglieder
351,481
Neuestes Mitglied
pfhllnts