(seit neuestem) nur 16 Regeln bei der MAC-Filter-Option mgl?

Hier dreht sich alles um die aktuell von Vodafone Kabel Deutschland, von Vodafone West bzw. im Rahmen der eazy-Tarife verschickten Kabelrouter der Marken Arris, CommScope, Technicolor, Compal, Sagemcom und Hitron sowie um die SuperWLAN-Produkte von Vodafone. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf diese Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“), von eazy („[eazy]“) oder von O2 über Kabel („[O2]“) bist.
Newty
Insider
Beiträge: 6364
Registriert: 12.02.2010, 15:56

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von Newty »

koaschten hat geschrieben:Ich finde das leicht Paranoid :roll:
Jedem das seine. Ich kenne auch diverse Firmen-LANs, wo man per DHCP erstmal pauschal in nen isolierten Pool geworfen wird, der zu nichts und niemandem ne Route kennt. Erst nach Freischaltung gibts dann das passende VLan. Dort arbeitet man aber mit sensiblen Daten und Systemen. Ich will nicht wissen, was passiert, wenn ein Kunde "mal eben Mails checkt" und ne Virenschleuder mitbringt und fröhlich alte Prozessrechner mit WinXP infiziert, die nie den Duft der Freiheit gerochen haben und unsicher sind.

Für zu Hause natürlich viel zu viel und auch viel zu teuer.

Ich glaube grundsätzlich, dass es nicht not tut, alle MACs der Geräte zu erlauben, nur die zur Verbindung(TP-Kabel, WLan) passende MAC sollte vollkommen ausreichen. Und die Geräte mit mehreren LAN-Anschlüssen müssen auch nicht mit allen Ports verbunden werden. Meistens ist Teaming sowieso nicht möglich, sowohl vom Endgerät wie auch vom Switch her.

Ich bin nun zu Hause und kann in die Config von ner Fritzbox 7360 reinschauen: Die Möglichkeit, Geräte per MAC zu filtern besteht in der Kindersicherung nur dahingehend, dass einzelne Dienste gesperrt werden. Man kann aber manuell Dienste einrichten, die dann einfach "Alle Ports" benutzen und daher auch so gesperrt werden können. Eine solche Sperre betrifft maximal TCP und UDP-Verkehr. Neue Geräte bekommen auf Wunsch "Keinen Internetzugang" - inwieweit das nur www-Anwendungen betrifft oder wirklich alles sperrt... Keine Ahnung.

Aber mal im Ernst: Für zu Hause sollte eine ähnliche Sicherheitsstufe erreicht werden können, indem man einfach DHCP ausschaltet. Dann bekommen komplette "ungewollte" Geräte keine IP-Adresse und müssten dann mit viel Aufwand die Adresse ersniffen. "Verdächtige" Geräte bekommen dann eine feste IP, die dann nur lokalen Zugang ermöglicht. Und alle anderen bekommen zusätzlich die IP vom Router und DNS und können dann tun und lassen, was sie wollen.
Mit Glasfaser in den Keller
[ externes Bild ]
kohjinsha
Newbie
Beiträge: 9
Registriert: 04.09.2013, 17:06

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von kohjinsha »

Paranoid ist das falsche Wort, "zu einfach gedacht" trifft's da wohl besser.
Was machen drei erwachsene Personen in einem Haushalt, die jeweils mehrere "internetfähige" Geräte besitzen und die auf die ganz normale und gängige MAC-Adressen Filterung setzen möchten, weil sie sich bewährt hat?

Sie müssen schauen, dass der eingesetzte Router nicht bei 6-10 Geräten (ca 18 MAC Adressen) Schluss macht.

Zusatz:
"einfach DHCP" ausschalten ist in meinem Fall völlig unpraktisch, weil ich mehrere (mobile) Geräte habe, die außer Haus in diverse Netze müssen - das geht schnell&unkompliziert nur mit voreingestelltem DHCP.

Außerdem ist die feste IP Vergabe m. E. n. nicht gleichzusetzen mit einer MAC Sperre.
Newty
Insider
Beiträge: 6364
Registriert: 12.02.2010, 15:56

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von Newty »

kohjinsha hat geschrieben:weil sie sich bewährt hat?
Wie vorher schon gesagt, Sinn machte das ganze nur in der Phase, also jeder Idiot binnen Sekunden ein WEP-Passwort knacken konnte. Überholt ist das ganze also mit der Einführung von WPA: http://digigeek.net/essays/releases/wla ... linux.html nur um mal zu zeigen, wie schnell das geht.

Wer genügend Energie aufbringt, in ein vernünftig gesichertes WPA(2) Netz einzudringen, der wird über den MAC Filter nur lachen...
Außerdem ist die feste IP Vergabe m. E. n. nicht gleichzusetzen mit einer MAC Sperre.
Wie es euch beliebt... Für mich sind das beides keine ernstgemeinten Zugangssperren...
Mit Glasfaser in den Keller
[ externes Bild ]
kohjinsha
Newbie
Beiträge: 9
Registriert: 04.09.2013, 17:06

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von kohjinsha »

.....was sind denn für dich ernstgemeinte Zugangssperren die sich nicht nur auf WLAN (sondern auch kabelgebundenem Zugriff) beschränken und mit denen man trotzdem DHCP nutzen kann (wegen diversen zu nutzenden Netzwerken)?
In meinem Nutzungsalltag und Szenario geht's halt nicht (nur) um die allerallerallerallersicherste Methode sondern vor allem auch um die handlebarkeit.
Ich lerne gerne hinzu und das bessere ist des guten Tod :-)
Newty
Insider
Beiträge: 6364
Registriert: 12.02.2010, 15:56

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von Newty »

kohjinsha hat geschrieben:.....was sind denn für dich ernstgemeinte Zugangssperren die sich nicht nur auf WLAN (sondern auch kabelgebundenem Zugriff) beschränken
Vor was soll denn nun der Filter schützen? Ich steh da langsam echt aufm Schlauch. Was für Geräte steckst du denn an den LAN an, die keinen Zugriff auf das Netz bekommen sollen? Oder geht es dir nur um WAN-Zugriff?
Mit Glasfaser in den Keller
[ externes Bild ]
kohjinsha
Newbie
Beiträge: 9
Registriert: 04.09.2013, 17:06

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von kohjinsha »

Es geht nur um den WAN Zugriff, also den Zugriff ins Internet.
In meinem Rechner mit 3 Netzwerkkarten sind z .b. 2 davon nicht in der MAC-erlaubt-Liste im Router aufgeführt.
Benutzeravatar
koaschten
Insider
Beiträge: 3982
Registriert: 04.06.2010, 14:21
Wohnort: Itzehoe

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von koaschten »

Ich könnte jetzt fragen warum du 3 netzwerk karten hast die im selben netz hängen... :roll:
kohjinsha
Newbie
Beiträge: 9
Registriert: 04.09.2013, 17:06

Re: (seit neuestem) nur 16 Regeln bei der MAC-Filter-Option

Beitrag von kohjinsha »

Könntest Du, aber ich glaube das würde sowieso stets an der "wofür braucht man das?" oder "braucht man das wirklich?" oder "ich brauche das nicht"-Grenze scheitern ;)
Warum ich MAC-Filterung nutzen möchte hat nichts damit zu tun, weil ich in dem Rechner drei Netzwerkkarten habe von denen zumindest eine tatsächlich nicht im selben Netz ist. Die andere ist das teilweise schon ;)
Aber, wie gesagt: Man braucht einfach nur einige diverse Geräte (Handy, Smartphone, Tablet, TV, Kühlschrank....) und schon sammeln sich eine Menge MAC-Adressen an, unabhängig von einem Rechner mit mehreren Netzwerkkarten was sicherlich nicht so oft vorkommt.