Zugriff über LAN Port einschränken

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

Kyagare

Neuer User
Mitglied seit
19 Jul 2009
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
FRITZ!Box Fon WLAN 7113
Firmware-Version 60.04.67


Da ich die Sicherheit meiner FritzBox erhöhen will, möchte ich die Zugriffe darauf stark einschränken. Für WLAN habe ich den Zugriff so eingeschränkt, dass nur noch Geräte mit bestimmten MACs angenommen werden.
Das Gleiche möchte ich nun für den LAN Port erreichen. Eine Einstellung über das Webinterface gibt es nicht bzw. konnte ich nicht finden. Daher muss ich wohl direkt in die /var/flash/ar7.cfg eingreifen.
In der /var/flash/wlan.cfg gibt es dazu den Parameter "mac_accesslist". Gibt es etwas ähnliches auch in der /var/flash/ar7.cfg oder einer anderen Datei? Wenn ja, wie lautet dort der/die Parameter und an welcher/welchen Stellen muss er angepasst werden?
Zur Not würde ich auch eine Sperre auf IP Ebene verwenden und alle IPs sperren und nur eine bestimmte freischalten. Wie sähe die Konfiguration diesbezüglich dann aus?

Danke im Vorraus für die Infos!
 
Moin, das man W-Lan abschottet verstehe ich ja noch, aber Lan? Wofür das denn? Wer soll denn bei dir zuhause dort reinkommen?
 
Das kannst du mit "Bordmitteln" über die Kindersicherung realisieren. Einfach die Option "Für Computer mit deaktivierter Kindersicherung ist die Internetnutzung gesperrt" rein, die erlaubten Adressen freigeben, fertig.
Die Box erkennt auch das "Kapern" von Adressen, d.h. wenn am PC eine gesperrte IP auf eine vermeintlich freie umgestellt wird, sperrt die Box die fremde IP vorsorglich.
 
Die Kindersicherung steht mir auf der 7113 leider nicht zur Verfügung. Kann sie vielleicht unter der Hand konfiguriert werden oder gibt es noch andere Einstellungsmöglichkeiten? Ich bin wie gesagt nicht auf das Webinterface angewiesen.
 
Ich würde mich dem anschließen ...
Wie kann ich einer bestimmten IP / MAC Adresse den Zugriff auf das Webinterface verbieten ?
Kindersicherung hab ich schon gesehen aber das gilt ja nur fürs Internet ...
Hab nen gefritzten W920V @ 7270
 
Kyagare schrieb:
FRITZ!Box Fon WLAN 7113
Firmware-Version 60.04.67

Da ich die Sicherheit meiner FritzBox erhöhen will, möchte ich die Zugriffe darauf stark einschränken. Für WLAN habe ich den Zugriff so eingeschränkt, dass nur noch Geräte mit bestimmten MACs angenommen werden.
Zum Vergrößern anklicken....

Dir ist klar, das ein Mac-Filter keinen Sicherheitsgewinn bringt? http://www.pcfreunde.de/artikel/a58/wlan-sicherheit-realistisch-gesehen/4/

Vergib ein vernünftiges Kennwort und das sollte reichen. Mach eine klare und deutliche Ansage über das Verhalten in Deinem Netz. Wer sich nicht daran hält ist dann mal ein paar Tage offline ...

-teddy
 
Wir nehmen mal einfach an, dass die Box mehr oder weniger unbeaufsichtigt laufen soll und niemand soll da ran können. Die wichtige Frage ist jetzt, soll ein "Fremder" überhaupt nicht ins LAN, nicht ins Internet oder nicht auf die Box oder welche Kombination davon?

Ein purer LAN-Mac-Filter ist natürlich für die Tonne, außer gegen wenig aufgeweckte 9jährige und Banker. Ohne die ständige Prüfung des LANs, welche MAC mit welcher IP an welchem Port zu sein hat, und Sperre und/oder Alarmierung beim Ziehen eines autorisierten Gerät wird das nichts.

Einfach durch Wegschließen das LAN der 7113 sperren und nur noch per WPA2-WLAN arbeiten.
 
Leute Leute, Auszeit!


Ich habe in meinem Anfangspost gesagt, dass ich die Box sicherer machen will, nicht uneinnehmbar. Und alles was restriktiver als _KOMPLETT OFFEN_ ist, ist sicherer, das ist nunmal Fakt. In ein offenes System kann jeder rein, in ein behinderndes System nur Derjenige mit dem nötigen Fachwissen.

Ich habe die WAN Firewall jetzt so konfiguriert, dass nur noch bestimmte IPs nach draußen dürfen. Das ist zwar suboptimal und nur eine kleine Teilmenge dessen, was ich eigentlich wollte, aber anscheinend muss ich unter den gegebenen Umständen damit leben.
Mein WLAN ist sowieso sicher, dank WPA2 und MAC Filter. Beim LAN Port wäre ein MAC Filter zumindest wünschenswert gewesen, bei 281474976710656 möglichen MAC Kombinationen hätte ein Angreifer wenig Spaß. Und ich wohne hier weder in einer Strafvollzugsanstalt noch neben dem CCC, als dass ich mir dann noch großartig Sorgen machen müsste.

Ich hätte mir etwas mehr Konzentration auf eine technische (Teil-)Lösung gewünscht, anstatt unnötige Grundsatzdiskussionen anzufangen. Mit Spaßaussagen wie
Einfach durch Wegschließen das LAN der 7113 sperren und nur noch per WPA2-WLAN arbeiten.
Zum Vergrößern anklicken....
kann ich natürlich wenig anfangen. Mit dem Geld für den säuregeschützten Spezialtresor (alles andere könnten ja neunjährige Bänker aufbrechen) kann ich mir genausogut einen Cisco Router und zwei Wachmänner mit Kampfhund zulegen. :rolleyes:
 
Spaßaussage?
Leider funktioniert es nur so + eingeschalteter HTTPS-User-Auth auch für HTTP, damit nicht jeder mit Zugang zum WLAN auch die Box resetten darf.
Es ist ein gewaltiger Unterschied, ob ich meinen Router offen herumstehen lasse und ungehinderten Zugang zu den LAN-Ports gewähre oder ihn in einen abschließbares Schaltschränkchen packe.

MAC-Adressen werden immer unverschlüsselt übertragen, sind also von jedem im Empfangsbereich mitlauschbar, MAC-Filter ergeben somit nur einen eingebildeten Sicherheitsgewinn.

Und wieso willst Du meine Frage "soll ein "Fremder" überhaupt nicht ins LAN, nicht ins Internet oder nicht auf die Box oder welche Kombination davon?" nicht beantworten?
 
Kyagare schrieb:
Leute Leute, Auszeit!


Ich habe in meinem Anfangspost gesagt, dass ich die Box sicherer machen will, nicht uneinnehmbar....
Zum Vergrößern anklicken....

Entschuldigung, schreib doch gleich, das es Dir nur um gefühlte Sicherheit geht, dann brauch sich keiner die Mühe machen mit sachlichen Argumenten zu kommen ... :noidea:

-teddy
 
"die Box sicherer machen will, nicht uneinnehmbar" ist verdammt schwammig formuliert.

Falls Du noch an den Mac-Filter-Weihnachtsmann aus Computer-BL¼D glaubst, wirst Du in der Zukunft noch herbe Enttäuschungen erleben müssen. ;-)

MAC-Filter könnten das Mitlauschen nur verhinden, wenn sie auf dem OSI Hardware Layer implementiert wären, was sie nicht sind und in nächster Zeit auch nicht werden, weil sie durch das sehr einfach mögliche "Fälschen" von MAC-Adressen weiterhin zahnlose Tiger bleiben.
 
Wie schön dass ihr Anforderungen so gut aufnehmen könnt. Ich will ne Spezi und ihr sagt mir, "nein, du willst ne Cola".

Aber ne, ist gut.
Hab nun doch ein Upgrade auf Freetz gemacht und mit iptables meine Wünsche Umgesetzt.
Das Netz ist für meine Bedürfnisse jetzt sicher und ne Spezi werd ich mir nun auch gönnen. :)

Vielen Dank für die kompetente Unterstützung! ;)
 
hi ich habe das gerade gefunden und ich muss sagen ich hätte auch intresse an einer mac lan filter lösung

der grund ist der 13 jähriger teeny hat ab 21:00 uhr in der kindersicherung auf seinem pc kein netz mehr

was macht er startet von usb Ubuntu und chattet bis früh morgens mit seinen kumpels

bei einer mac lan filterung muss er erst mal die macadresse seines vaters haben und dann muss er sie noch in ubuntu änderen können

ich will damit ja nicht sagen das das der perfekte schutz ist

aber immer noch besser als eine kindersicherung auf dem pc ohne biospasswort ;)
 
monohell schrieb:
... hätte auch intresse an einer mac lan filter lösung
...
bei einer mac lan filterung muss er erst mal die macadresse seines vaters haben und dann muss er sie noch in ubuntu änderen können
...
Zum Vergrößern anklicken....
Mac-Adresse unter Linux ändern, stellt kein Problem dar. Z. B.: >>> klick <<<. Freetz und iptables, evtl. auch Privoxy, so wie es Kyagare gemacht hat, wäre die bessere Lösung für dich.

Erstaunlich, dass sich noch kein Erziehungsexperte zu deinem Problem geäußert hat.;)
 
Es ist kein Problem, die MAC-Adressen aller Geräte in LAN und WLAN auszulesen, jeder LAN/IP-Scanner macht dies in Sekunden, schließlich wurde diese in IPX/SPX-Netzen allein für die Adressierung benutzt.

Für die MAC-Adress-Änderung unter Windows muss man i.d.R. nicht mal zu einem Tool greifen, denn in den erweiterten Einstellungen der LAN-Adapter findet man das als Parameter "lokal verwaltete Adresse", "Network Address" etc.

Fazit: IP- und MAC-Adressen können auch Nicht-Genies ändern. Vernagelt man den Windows-PC, kann man das Admin-Kennwort rücksetzen oder gleich ein anderes OS starten etc. etc. Ohne eine spezielle Identifizierung und Absicherung bleibt die Kindersicherung ein komplett zahnloser Tiger.

Hat man keine Auslese-Möglichkeit, d.h. einen Zugang zu einem PC in diesem LAN bzw. zu dem LAN selbst, kann man mit einem LAN-MAC-Filter (auf Switch-Ebene) die Box sicherer machen. Kann man in das LAN und pingen, wird das völlig witzlos.
 
Zuletzt bearbeitet von einem Moderator:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 472 (Mitglieder: 11, Gäste: 461)

Neueste Beiträge

Statistik des Forums

Themen
246,300
Beiträge
2,249,713
Mitglieder
373,904
Neuestes Mitglied
Elemir
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück