Zugangsprofile werden umgangen

jen.schubert

New member
Hallo,
wir haben eine Fritz!Box 7490. Für die Geräte haben wir Zugangsprofile erstellt. Diese funktionieren auch - mit einer Ausnahme:
Es gibt einen PC, für den ein ganz normales Nutzerprofil erstellt ist. Das Gerät taucht unter dem gleichen Namen in der Geräteliste mehrmals auf und hat dann immer keine Zugangsbeschränkung. Ich kann dann dem Gerät wieder das passende Nutzerprofil zuweisen, obwohl dieses ja eigentlich schon zugewiesen ist. In dem Moment erscheint auch der Balken, der die online-.Zeit anzeigt. Wenn diese abgelaufen ist, erscheint das Gerät unter dem gleichen Namen erneut in der Geräteliste - ohne Zeitbegrenzung. Der PC hat auch keine Option, sich mit einer anderen IP-Adresse anzumelden. Der Haken ist gesetzt bei: Diesem Gerät immer die gleiche IP-Adresse zuweisen.
Das Problem gab es vor einiger Zeit noch nicht. Wir haben auch sonst keine Einstellungen verändert. Über einen Tipp würde ich mich sehr freuen.
Jennifer Schubert
 
Hi,

wenn der PC mehrfach in der Liste auftaucht, klick doch einfach mal drauf und schau Dir die "MAC-Adresse" an (roter Bereich).

1674748633278.png

Die sollte sich eigentlich bei den ganzen unterschiedlichen Einträgen jeweils unterscheiden. Die MAC-Adresse sollte theoretisch auch weltweit einzigartig sein und ist in der Hardware der Netzwerk-Schnittstelle verankert.

Hast Du mehrfach den gleichen Gerätenamen in der Liste, kann das unterschiedliche Ursachen haben:

- Der Geräte-Name ist am Gerät selbst vergeben (z.B. PC1 und PC2 heissen beide "Mein-PC")
- Das Gerät hat mehrere Netzwerk-Verbindungen (z.B. LAN + WLAN)
- Die MAC-Adresse wird wird mittels Software verändert (somit kann ein einziges Gerät mit einer einzigen Netzwerkverbindung z.B. alle paar Minuten die MAC-Adresse software-seitig verändern und würde entsprechend oft in der Liste auftauchen).

Überprüf erstmal die oben erwähnte MAC-Adresse bei den ganzen gleichnamigen Einträgen, dann sehen wir weiter :)
 
Die sollte sich eigentlich bei den ganzen unterschiedlichen Einträgen jeweils unterscheiden. Die MAC-Adresse sollte theoretisch auch weltweit einzigartig sein und ist in der Hardware der Netzwerk-Schnittstelle verankert.
Du darfst nicht vergessen, das einige Netzwerkadapter auch "privacy" Funktionen haben und zyklisch neue zufällige MAC-Adressen generieren und dann auch nutzen.

1674750217660.png

Das ist z.B. die Standard-Einstellung bei allen mobilen Geräten von Samsung.

@jen.schubert Es wäre mal interessant zu schauen, worin sich die unterschiedlichen Einträge für das Gerät unterscheiden.
 
Hey danke für die schnellen Antworten.
Also, das Gerät taucht bei den Netzwerkverbindungen mit dem immer gleichen Namen mehrmals auf. Soweit hatte ich berichtet. Die Netzwerkverbindung zeigt jeweils eine andere IP-Adresse und auch eine andere MAC-Adresse an. Letztere hatte ich mir nie angeschaut. Da steht immer "MSFT 5.0 und dann eine Folge von Zahlen mit Doppelpunkten dazwischen, z.B.
MSFT 5.0,
34:98:53:49:01:12

MSFT 5.0,
34:98:53:49:04:41


Es scheint doch so zu sein, dass der Rechner immer mit einer neuen anderen IP-Adresse angemeldet wird, obwohl diese Option eigentlich nicht verfügbar sein sollte.
 
Weisst Du denn, welches Gerät das ist, oder ist es einfach "irgendeins"? Da sich die MAC-Adresse bzw. der vordere Teil (34:09:53) anscheinend keinem Hersteller zuweisen lässt, lässt das schon den Schluss zu, dass da irgendeine Software die MAC-Adresse regelmässig software-seitig vortäuscht.

Falls Du weisst, um welches Gerät es sich konkret handelt, wird dort ggf. eine Sicherheitssoftware installiert sein (Security-Suite, ggf. auch Virenscanner, usw.), welche sowas ermöglicht. Vermutlich wird sowas irgendwo in die Richtung der Anonymisierung gehen. Schau einfach mal nach, ob Du da evtl. etwas findest und falls ja, dann schalte es ggf. ab, dann sollte die Fritzbox-Filter-Geschichte auch problemlos funktionieren.
 
Danke, ja, es geht um das Gerät meines Sohnes, ein PC, der einen eindeutigen Namen im Netzwerk hat. Wir haben darauf G-Data installiert. Dann schau ich mir mal die Virensoftware an. Wenn Windows die zufälligen MAC-Adressen generiert - wo wird das eingestellt?
 
Moinsen,
Wie alt ist der Sohnemann?
Ist er ein bisschen IT interessiert? Aka Kann Google bedienen?
Kann es sein, dass er einfach versucht, deine Filter zu umgehen (Zeit, Inhalt)?

Ich will da nix unterstellen, aber hab hier auch einen Teen großgezogen...;)
 
Hallo, er ist 13, aber nicht besonders IT interessiert. Aber natürlich kann er google bedienen und ich traue ihm zu, dass er die Sperren umgehen will. Ich habe mir das G-DATA angeguckt, aber bis auf die Option für anonymisierte Berichte, um die Software zu verbessern, gibt es da keine relevanten Einstellungen. Da er kabelgebunden ins Netz geht und nicht über WLAN, habe ich auch keine Windows-Einstellung für die Hardware MAC Adressen gefunden. Hm.....
Habt ihr noch andere Tipps??
 
Aus der Ferne schwer zu sagen. Aber wenn der Google bedienen kann, dann findet man schnell Erklärungen, wie Internet-Zugangsfilter im Heimnetz funktionieren. Und es gibt auch Erklärungen, wie man die MAC-Adresse einer Ethernet-Karte ändert. Es gibt sogar, wie ich feststellen musste, kleine Programm, die das für "Anfänger" erleichtern. :D Ich poste die Links hier nicht, weil ich diesen Programmen nicht vertrauen würde.

Sollte er auch einmal den "Dreh" raus haben, wirst Du es ihm auch nicht mehr abgewöhnen. Selbst wenn Du da jetzt eine Software findest, die die MAC stetig ändert.

Ich vermute, dass Du noch die volle Hoheit über den Router hast. Dann dreh doch den Spieß rum. Ist zwar ein bisschen Aufwand, aber geht auch. Auf dem Router stellst für Standard-Geräte ein, dass sie fast gar nix dürfen. Dann ordnest Du alle Geräten Profile zu. Deinen das "unbegrenzt"-Profil, den von Deinem Sohn das "beschränkte"-Profil... sollte er dann die MAC ändern darf er noch weniger. :D
 
Das Problem löst sich doch ganz schnell, wenn man unbekannten Geräten automatisch das Profil „Standard“ zuweisen läßt und für dieses Profil aber eine komplette Netzwerksperre hinterlegt hat, man damit also genau bis zur Fritzbox kommt und nicht weiter. Zeitbeschränkung auf „nie“ stellen, Nutzung des Gastzugangs auf aus. Damit kommt ein neu hinzugekommenes Gerät nicht weit.
So haben wir das auch. Haken dabei ist: wenn Du iOS-Geräte hast, mußt Du bei denen für das Heimnetzwerk das automatische Erzeugen einer MAC abschalten, weil die sonst irgendwann auch im gesperrten Standardprofil sind.
 
Ganz vielen Dank für Eure Hinweise! Toll, wie schnell ich von euch Antworten bekommen habe. Im Moment funktioniert es wieder, nachdem ich nach Euren Tipps die Profile neu aufgesetzt habe. Ich lasse mir jetzt die Anmeldungen an der Fritzbox per Push-Nachricht anzeigen, um da dran zu bleiben. Der PC taucht nämlich nach wie vor mehrmals auf, hat aber immer eine Zeitbeschränkung bzw. gar keinen Zugriff. Ich habe meinen Sohn auch befragt und da er immer sehr ehrlich ist, nehme ich ihm ab, dass er nicht weiß, was eine MAC-Adresse ist. Ich glaube ihm eigentlich, dass er nicht versucht hat, die Sperre zu umgehen. Keine Ahnung, was da schief gelaufen ist oder ob ich ihm da nicht mehr vertrauen kann. Auf seinem PC habe ich jedenfalls nichts verdächtiges gefunden, aber das muss ja nichts heißen.
 
Hallo, ich habe die Fritzbox jetzt ein paar Tage beobachtet und den Rechner meines Sohnes angeschaut. Ich bin mir inzwischen sicher, dass er nicht versucht hat, irgendwas zu manipulieren. Es scheint so zu sein, dass der Rechner sich manchmal mit anderen MAC Adressen anmeldet, obwohl er eine feste MAC-Adresse zugewiesen hat. D.h., dass, wenn der Rechner sich mit einer anderen MAC-Adresse anmeldet, ich diesem (virtuellen) neuen Gerät das Profil erst wieder zuweisen muss, damit mein Sohn überhaupt die im Profil zugewiesene Bildschirmzeit bekommt. Das ist natürlich auch kein Zustand. Gibt es möglicherweise noch in anderen Tiefen Einstellungen, die festlegen, dass das Gerät immer die gleiche MAC-Adresse nehmen muss?

Für die IP-Adresse lässt sich das ja in der fritzbox einstellen.

Es bleibt spannend....
 
Installierte Sicherheitslösungen und Windows-Einstellungen (bzw. Netzwerk-Treiber-Einstellungen), das sollte es im groben sein.
 
Es ist definitiv kein normales Verhalten, dass eine LAN-Karte ihre nach außen präsentierte MAC ändert. Es ist mir auch nicht als Feature von Windows bekannt. Da liegt die Vermutung viel näher, dass es eine Besonderheit auf dem betreffenden Rechner gibt.
 
Moinsen,
ich hab mir den Thread jetzt dreimal durchgelesen. Vermutlich übersehe ich die Antwort auf meine Frage: ist der Rechner per WLAN oder LAN im Netzwerk? Oder gar beides?
Danke für die Aufklärung bzw. den Wink mit dem Marter...äh...Zaunpfahl.
 
Führ mal am betroffenen Rechner die "Powershell" aus (aber als Administrator - rechtsklick drauf und dann "Als Administrator ausführen"). Dort gibst Du dann mal folgendes ein:

get-wmiobject -class win32_product | where vendor -ne "Microsoft Corporation" | where vendor -ne "Microsoft" | select Name, Vendor | sort-object -property Name > C:\Software.txt

Das ganze erzeugt dann eine Datei namens "Software.txt" unter Laufwerk C: ("C:\Software.txt"). Somit kriegst Du einen Überblick über die - nicht von Microsoft stammende - installierte Software. Vielleicht kannst Du da schon etwas ausmachen....

Falls nicht: Schau die Liste mal durch, ob da irgendwas "persönliches" dabei ist und entferne die entsprechenden Zeilen bitte (z.B. installierte Spiele und sowas). Danach kannst Du die Liste hier mal als "Code" veröffentlichen, dann schauen wir mal an welcher Ecke da ggf. etwas sein könnte :)
 
Vermutlich übersehe ich die Antwort auf meine Frage: ist der Rechner per WLAN oder LAN im Netzwerk?
siehe Beitrag #10:
Da er kabelgebunden ins Netz geht und nicht über WLAN, ....
Aber die Frage ist dennoch gut. Womöglich geht der Sohnemann ja per mal eben eingestecktem WLAN-Stick online und zieht den wieder ab, bevor der restriktive Papa wieder nachschaut :-D
Um einen Stick anzustöpseln und wieder abzuziehen, bedarf es keiner IT-Affinität - und wenn der lokale User, wie es bei so vielen von Laien betreuten Windowskisten zu finden ist, dann auch noch Admin ist, kann jeder alles anstecken und die Treiberinstallation erfolgt ja dann praktisch meist von allein .....
 
Moinsen,
Naja, falls...ich wollte mit meinem anderen Post nicht den Sohn unter Generalverdacht stellen.

Du könntest natürlich mit etwas Zeit und Mühe allen bekannten Geräten eine feste IP zuordnen (ist eh immer ne gute Idee). Dann eben auch der LAN NIC des "verdächtigen" PCs. Wenn alle Geräte so in der fritzbox eingetragen sind, kannst du ja den dhcp Server mal kurz deaktivieren. Dann sollte ein ggf. eingestöpselter Stick auffallen.
Es sollten dann nur die eingetragenen Geräte durch ihre MAC die jeweiligen IP Adressen erhalten. Andere eben nicht...
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.382
Beiträge
45.245
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben