[Problem] Kindersicherung FB7270 umgangen

[annee2000]

Hallo,

hatte mir die FB7270 u.a. wegen der KS (Kindersicherung) zugelegt. Es war bis jetzt leider die einzige Möglichkeit den Internetkonsum zu drosseln.

Vor kurzem musste ich feststellen dass unser Sohn wohl in aller Ruhe die KS umgeht indem er sich eine feste IP Adresse einstellt die andere Geräte im LAN benutzen (NAS, mein PC).
Dies habe ich auch soweit unterbunden indem jetzt alles über WLAN läuft und keine neuen Geräte sich anmelden dürfen.
"WLAN-Zugang auf die bekannten WLAN-Geräte beschränken"

Die Fritzbox ist mit Kennwort geschützt. Jetzt passiert seit kurzem folgendes:
Mein Sohn umgeht wieder in aller Ruhe den Kennwortschutz und verstellt die FB Kindersicherung. So kann er sich das Internet öffnen wie er möchte.

Hat jemand eine Idee wie er das macht und vor allem wie ich es unterbinden kann? Ist eine MAC Filterung über das Conf File möglich? Was ist sonst noch möglich?

Zur Info, wenn er die Box verstellt bekomme ich oft die falsche Meldung im Ereignisprotokoll dass der USB Speicher getrennt wurde. Hier ein Auszug:

22.02.11 23:11:48 WLAN-Gerät angemeldet (2,4 GHz). Name: AppleTV, IP-Adresse: 192.168.178.25, MAC-Adresse: 58:55:CA:06:C0:64, Geschwindigkeit 65 MBit/s.
22.02.11 23:11:42 WLAN-Gerät abgemeldet (2,4 GHz). Name: AppleTV, MAC-Adresse: 58:55:CA:06:C0:64.
22.02.11 23:07:51 WLAN-Gerät abgemeldet (2,4 GHz). Name: XXXXX-Laptop, MAC-Adresse: 78:E4:00:58:20:E6.
22.02.11 22:40:14 Die FRITZ!Box-Einstellungen wurden über die Benutzeroberfläche geändert.
22.02.11 22:39:42 Anmeldung an der FRITZ!Box Benutzeroberfläche von IP-Adresse 192.168.178.23.
22.02.11 22:39:05 WLAN-Gerät angemeldet (2,4 GHz). Name: XXXXX-Laptop, IP-Adresse: 192.168.178.23, MAC-Adresse: 78:E4:00:58:20:E6, Geschwindigkeit 54 MBit/s.
22.02.11 22:39:00 WLAN-Gerät abgemeldet (2,4 GHz). Name: XXXXX-Laptop, MAC-Adresse: 78:E4:00:58:20:E6.
22.02.11 22:27:33 WLAN-Gerät angemeldet (2,4 GHz). Name: XXXXX-Laptop, IP-Adresse: 192.168.178.23, MAC-Adresse: 78:E4:00:58:20:E6, Geschwindigkeit 54 MBit/s.

22.02.11 17:21:45 Integrierter Anrufbeantworter kann nicht auf USB-Speicher wechseln, da dieser schreibgeschützt ist.
22.02.11 17:21:43 Partition unter Chipsbnk-FlashDisk-01 eingebunden
22.02.11 17:21:37 Partition Chipsbnk-FlashDisk-01 entfernt
22.02.11 17:21:33 USB-Gerät 1003, Klasse 'USB 1.1 (full-speed) storage', angesteckt
22.02.11 17:21:33 USB-Gerät 1002 abgezogen

Viele Dank im voraus für eure Hilfe
annee2000

 

[Novize]

Die Fritzbox ist mit Kennwort geschützt. Jetzt passiert seit kurzem folgendes:
Mein Sohn umgeht wieder in aller Ruhe den Kennwortschutz und verstellt die FB Kindersicherung. So kann er sich das Internet öffnen wie er möchte.

dann hat er Dein Passwort der Fritzbox.
So ist es kein Problem, die Kindersicherung zu konfigurieren und sich den Zugang freizuhalten...

 

[Rohrnetzmeister]

Wie schon gesagt ein besseres Passwort von dir.

 

[annee2000]

Zu einfach!
Also bitte, das Passwort ist 8 Zeichen lang mit Sonderzeichen etc. Ich habe es bereits mehrmals geändert. Es muss noch anders, ohne PW zugreifen können.

Mich interessiert eigentlich hauptsächlich wie ich die Box sicherer machen kann. Das PW ist nicht die Lösung. Übrigens braucht er nur kurze Zeit um auf die Box zuzugreifen.

 

[eumel196]

Das PW ist nicht die Lösung.

Wenn dein Sohn das PW kennt nützt alles andere sowieso nichts.

Also unter der Voraussetzung, dass er es nicht kennt, helfen folgende Einstellungen unter Kindersicherung und Netzwerk:

 

[MalkoV2]

Es wäre sehr schlecht, sollte dein Sohn in der Lage gewesen sein, auf deinem Rechner einen Keylogger zu installieren, der ihm das neue Passwort frei Haus liefert. Ich wills mal für euren Betriebsfrieden nicht hoffen, das wäre aber eine Möglichkeit immer wieder an die PWs zu kommen...

.

 

[informerex]

dein Sohn sollte statt bestraft, gefördert werden = "hochbegabt"
Wenn die Kindersicherung richtig konfig. ist und nur du das PW weißt, zudem ein Keylogger ausgeschlossen werden kann, dürfte alles sicher sein.
"Eine Verbindung" mit der Box sagt doch noch nichts über die Möglichkeit ins Netz zu kommen.

Die Aussage mit dem USB Stick ist meines Erachtens ebenfalls eine falsche Schlussfolgerungen, denn hier findet ein einfacher reboot der Box statt.
In diesem Zusammenhang fällt mir eher auf, was soll ein schreibgeschützter Stick an der Box?

Evtl. sollte man mit Sohnemann eher mal die Problematik besprechen, als Regeln aufzusetzen, aber das wird hier sonst zu OT

PS: nochmals die Anleitung bsw. hier durchgehen: http://www.avm.de/de/News/artikel/newsletter/tipp_kindersicherung.html

 

[andilao]

Einen ähnlichen Fall hatten wir mal hier im Forum, da hatte Sohn dem Vater einen Keylogger untergeschoben und wurde so von jeder Kennwortänderung unterrichtet. Der Betroffene hat sehr gelassen reagiert, bei mir hätte das andere Konsequenzen gahabt, z.B. das sofortige Verschenken seiner gesamten IT an Bedürftige ... ;-)

Ich hoffe, Deiner ist etwas subtiler (intelligenter?) vorgegengen. MAC-Adressen lassen sich bei den meisten WLAN-Treibern ganz einfach im Konfigurations-Dialog des WLAN-Adapters einstellen (für die anderen gibt es freie Tools). Und wie Du also feststellen konntest, sind weder Hostname, IP-Adresse noch MAC-Filter ein Sicherheitsgewinn. Wenn AVM für die Kindersicherung bzw. für deren Umgehung keine zusätzliche Authentifizierung vom PC/Notebook aus einführt, bleibt sie ein zahnloser Tiger und kann nur Vorschulkinder erschrecken.

Für das Umgehen oder Auslesen des Kennworts ohne vorherigen korrekten Zugriff gibt es bisher keine bekannten Methoden und der Brute-Force-Angriff auf das WebIF ist wegen der exponentiell ansteigenden Wartezeit nach jeder Falscheingabe eher hoffnungslos. Auf Telnet wäre sie schon aussichtsreicher, denn es lässt sich bekanntlich sehr leicht per Telefon aktivieren. Die letzte gute Methode für Hacker-Sohn ist das im WLAN recht einfache Sniffing.

Ein Vorschlag von mir: Gebe ihm das Gast-WLAN, was ganz transparent passieren kann, indem man SSID und Key dorthin übernimmt und die vom "Haupt"-WLAN verändert. Dort kann man einfach das "automatisch deaktivieren nach" am Morgen bzw. per Fernwartung nach n Stunden einstellen und fertig!

 

[annee2000]

Posting 1:
Danke Eumel196. Beides habe ich seit langem bereits so konfiguriert.
Es muss einen anderen Weg geben um das Kennwort zu umgehen. Eine habe ich ja bereits aufgeführt, das veränderns der statischen IP Adresse seines PC.

Ist es möglich dass man über eine "Service IP Adresse" auf die Box kommt?
Posting 2:
Ja, habe ich schon in Betracht gezogen.
Um es auzuschliessen habe ich das PW über das Ipad geändert und meinen PC eine Woche lang aussser Betrieb gesetzt. Also diese Möglichkeit ist auch auszuschliessen.
Posting 3:
Bin einverstanden was den USB Stick anbetrifft. Sollte die Box neu starten dann ist dies auch im Protokoll zu sehen. Ist hier aber nicht der Fall oder ich irre mich sehr.
Danke für den hinweis betreffend der Regeln für meinen Sohn, das habe ich zur Zeit wenigstens aufgegeben.

""Eine Verbindung" mit der Box sagt doch noch nichts über die Möglichkeit ins Netz zu kommen." ist korrekt, er kommt aber ins Netz.

 

[dj-prophaganda]

Der Nachwuchs gefällt mir... scheint nicht dumm zu sein... ;-)
Was mir jetzt noch einfällt:
Im Regelfall konfiguriert doch nahezu jeder die FB über http://fritz.box (bzw. ip-adresse)
Wenn ein Keylogger ausgeschlosen wird bleibt noch die Möglichkeit des Sniffing's - wobei mir das bei WLAN eigentlich unmöglich erscheint.
Jedoch beim nächsten Passwortwechsel mal nicht per http sondern per https auf die Box zugreifen.
Und hat der Nachwuchs eigentlich Admin-Rechte auf seinem Computer?
Zugegebenermaßen lässt sich auch ein User-Account umgehen (da giebt es doch ab und zu bootfähige CD's in der *glaub* CT)
Der Brüller wäre jetzt nur, wenn das Kind hier aktives Mitglied im Forum ist und das ganze seelenruhig mitliest...

 

[Rohrnetzmeister]

Dein Sohnemann muss echt ein "Fuchs" sein. Wenn du den Trick weißt musst du ihn mal verraten...

 

[annee2000]

Also eines ist klar, die FB Kindersicherung ist tatsächlich für Vorschulkinder. Auf Youtube habe ich mitlerweile mehrere Anleitungen gefunden um diese zu umgehen. Allerings keine die dem vorgehen meines Sohnes ähnelt.
Bei Telnet kenne ich mich nicht aus, glaube mein Sohn auch nicht.
Fernwartung ist bei mir aktivier, aber auch mir einen sicheren PW geschützt.

 

[eumel196]

Ich habe bei meinen jüngeren Söhnen (11 und 14) zusätzlich die Saalfeld KiSi 2011 lokal installiert. Bei meinem Ältesten (16) setze ich auf Reife da habe ich keine KiSi mehr (weder am PC noch in der FB).

 

[annee2000]

Posting !:
Ich bin sicher dass er hier nicht mitliest. Er stöbert eher auf französischen Foren rum. Berteffend User Account. Er ist auf seinem Laptop Admin.

Zum Hinweis, er hatte auch mal den Laptop direkt per Kabel an die Box angeschlossen und wird es wieder versuchen.

Als ich vor kurzem ein Paar TAge weg war hatte er die Installation wieder geändert. Es war nicht mehr möglich nach Hause zu telefonieren, er hatte aber Internet. Die FB ist via Kabel an einem Kabel Deuteschland Modem angeschlossen. Als ich wieder zu Hause war lief Telefon und Internet als ob nichts gewesen wär.
Posting 2:
Ich werde auch auf Reife setzen aber vorerst muss er mal Abi machen. KiSi bi einem 18 järigen ist ausgeschlossen da er sehr schnell ein System Restore machen kann und damit die KiSi umgeht.
Posting 3:
Hatte übrigens auch schon die FB IP geändert. Hat er auch umgehen können.

 

[effmue]

Guude,

da es bislang noch nicht zu Sprache kam:
Welche Firmware kommt auf der Box zum Einsatz ??

Was du versuchen kannst, wäre:
-sichere dir die Boxkonfiguration und das Telefonbuch - danach führe einen Reset auf die Werkseinstellungen durch und spiele dann die gesicherten Daten wieder zurück.

..danach überarbeitest du die Kindersicherung und speicherst diese neu ab.
und ganz am Ende wechselst du per IPAD dein Box-Passwort und den WPA2-Key und deaktivierst die Fernwartung und VPN-Funktionalität.
..danach heist es abwarten :doktor:

PS:..vermeide bitte diese unsäglichen mehrfachpostings...oki..?

 

[eumel196]

Das ist auch mit einem Netzwerk-Scan leicht rauszubekommen (FB IP). Bei einem 18-Jährigen ist eine KiSi wie bei meinen Söhnen sicher etwas daneben .

 

[annee2000]

Aktuell installierte Firmware-Version: 54.04.88
Was du gerade vorschlägst habe ich bereits gemacht bis auf das Abschalten der Fernwartung. VPN ist nicht aktiv.
Bin fast einverstanden. Er kann aber seinen Laptop per Kabel an die Box anschließen und eine feste IP einstellen. Die Auswahl ist groß. Dann ist er wieder auf der Box. Findet er die IP meines PC ist er auch dann wieder im www.
Ich glaube nicht das er Stand heute über WLAN an die FB kommt (WPA etc.) da neue Geräte nicht zugelassen werden. Also bleibt nur der Weg über das Kabel direkt an der FB.

 

[Goggo16]

Hi,

aus eigener Erfahrung kann ich nur sagen, "Gib auf und sei stolz auf ihn". Der wirklich sichere Ansatz ist ein richtige Firewall in einem gesicherten Raum. Aber wer will das schon. ;-)

Hab das alles mit meinem Sohnemann durchgemacht, bis hin zu MAC-Address Spoofing und zum Schluss war ich ausgesperrt. Da half nur noch die Kneifzange, um sein durch die Wände im Haus verlaufende LAN-Kabel am Switch abzuschneiden (hab ich gemacht). Zum Glueck konnte er keine Stecker konfektionieren. Bei WLAN geht das leider nicht.

Grüße,

Goggo

 

[dj-prophaganda]

18 ?!?!....
Öhm... Ich weiss schon, warum ich bei meinem Grossen (auch 18 ) keine KS laufen habe....
Mir ist es dann doch lieber, wenn er zu Hause ist und da surfen, spielen, chatten... tut,
als wenn er irgendwo mit mir unbekannten Kumpels die Nächte in Internet-Kaffee's verbringt...
So hat man wenigstens noch etwas Überblick über seinen Nachwuchs...
Insofern ist dein letzter Beitrag *denk* der bessere Lösungsweg
Villeicht verrät ja dein Sohn mal seinen "Trick"... hätte da auch Interesse dran genauso wie auch Rohrnetzmeister ;-)

 

[eumel196]

aus eigener Erfahrung kann ich nur sagen, "Gib auf".

:meinemei: