Solved
Speedport Smart 4Plus: Verwaltung der WLAN Zugriffsbeschränkung sehr unzuverlässig und fehlerhaft
1 year ago
Nachdem mich mit meinem Wechsel zur Telekom letztes Jahr auch einen Speedport 4Plus bekommen habe, habe ich das Gerät so eingerichtet, wie ich früher auch meine FritzBox betrieben hatte: SSID öffentlich, nach MAC-Adressen eingeschränkte Liste der zugelassenen WLAN-Clients.
Leider hat sich die Weboberfläche des Geräts im Bereich "WLAN Zugriffsbeschränkung" als stark fehlerhaft herausgestellt:
Wenn ich zugelassene Geräte hinzufügen oder entfernen will, zeigt mir die Oberfläche eigentlich nie die richtige Liste an. Eigentlich zugelassene Geräte werden als nicht zugelassen angezeigt und umgekehrt.
Nach einer Änderung der Konfiguration geht nun die Lotterie los: vorher zugelassene Geräte sind plötzlich, obwohl ich in der Oberfläche vorher die Liste sorgfältig überprüft habe (denn, wie schon geschrieben, ist allein die Anzeige extrem unzuverlässig), Geräte ohne Zugriff.
Durch Probieren bin ich dazu gekommen, dass es offenbar das beste ist, zwischendurch erst einmal wieder die Zugriffsbeschränkung ganz aufzuheben und dann wieder neu einzurichten. Das ist wirklich sehr ärgerlich, besonders weil ich diese Funktion recht häufig brauche, z.B. wenn Gäste hier sind und gern mein WLAN mitbenutzen möchten.
Hinzu kommt, dass die Verwaltung der bekannten Geräte ebenfalls sehr schlecht funktioniert: einmal vergebene Namen werden wieder vergessen, eigentlich bekannte Geräte tauchen plötzlich wieder als PC-.... auf und so weiter. Das ist extrem ärgerlich, da ich in meinem Haushalt gern genau verstehen möchte, welche Clients in meinem Netz unterwegs sind und z.B. "Einmal-Gäste" hinterher auch wieder entferne. So muss ich immer wieder neu Gerät für Gerät die MAC-Adresse aus der Speedport-Web- GUI herausfummeln und gegen meine Excel-Liste abgleichen.
So wie es scheint, speichert mein Speedport meine Gerätelisten nicht nur lokal, sondern auch in der Cloud? Das scheint mir zumindest so, weil ich aufgrund anderer Probleme (nach mehreren Stromausfall konnten sich Geräte jedes Mal plötzlich nicht mehr mit dem Netz verbinden, bis ich einen Reset des Gerätes machte, was natürlich eine Menge Nerverei und Arbeit verursacht hat) mal ein Ersatzgerät bekommen hatte, welches netterweise dann gleich meine alten Geräte "kannte" - genauer gesagt: einige, und einige dann wieder nicht. Eigentlich ist das eine sehr schöne Funktion. Nur wundert mich dann, dass nach dem Gerätetausch oder Factory-Reset die Liste der bekannten Geräte jedes Mal "kreativ" neu erscheint. Aua.
Leute, diese Features sind kein Hexenwerk. AVMs FritzBoxen machen das seit Jahren absolut zuverlässig. Ich mag den Speedport eigentlich. Er hat einige wirklich schönen Funktionen. Aber diese ver**** Web- GUI muss doch irgendwie hinzubekommen sein. Ich mache mir auch ernsthaft Sorgen um die Qualitätssicherungsprozesse, die diese Probleme, die ich von Anfang an durchgängig mit mittlerweile 2 Geräten gehabt habe, nicht bemerkt oder als keine Showstopper klassifiziert hat?
386
40
This could help you too
816
0
4
4 years ago
904
0
3
1 year ago
Einfach die ganze Funktion ignorieren denn sie bringt NIX.
Du gewinnst 0-Sicherheit mehr damit.
Und dein "Problem" dürfte daher kommen, dass viele Geräte mittlerweile Zufalls-MAC-Adressen nutzen.
Heißt die würfeln sich alle paar Tage/Wochen ne neue MAC-Adresse aus.
2
Answer
from
1 year ago
Einfach die ganze Funktion ignorieren denn sie bringt NIX. Du gewinnst 0-Sicherheit mehr damit.
Einfach die ganze Funktion ignorieren denn sie bringt NIX.
Du gewinnst 0-Sicherheit mehr damit.
Wieso? Ohne die Funktion, reicht es, den Schlüssel zu kennen. Mit der Funktion muss man den Schlüssel kennen, wissen, welche MAC-Adressen Zugriff haben und die MAC-Adressen gezielt fälschen. Trivial ist das nicht.
Es ist eine weitere Schwelle. Jede weitere Schwelle hilft.
Und dein "Problem" dürfte daher kommen, dass viele Geräte mittlerweile Zufalls-MAC-Adressen nutzen.
Nein, sicher nicht. Die MAC-Adressen habe ich in einem Tabellendokument, und wenn ich die in der Speedport- GUI inspiziere, habe ich da die selben MAC-Adressen.
Answer
from
1 year ago
Wieso? Ohne die Funktion, reicht es, den Schlüssel zu kennen. Mit der Funktion muss man den Schlüssel kennen, wissen, welche MAC-Adressen Zugriff haben und die MAC-Adressen gezielt fälschen. Trivial ist das nicht.
Trivial ist das nicht?
Es ist sogar lächerlich einfach eine andere MAC Adresse zu verwenden.
Und auch die MAC Adressen herauszubekommen.
Man schaut einfach der Traffic zu und fragt die Geräte ab, die antworten alle mit ihrer MAC Adresse.
Dann verpasst man dem eigenen Gerät eine der MAC Adressen, die eh schon mit dem Router kommunizieren und fertig.
Eine MAC Adresse ist KEINE Sicherheit und fällt in wenigen Sekunden.
Daher macht ein MAC-Filter auch keinerlei Sinn mehr - ist nur noch für Leute wie dich drin.
Unlogged in user
Answer
from
1 year ago
Für Gäste gibt es den Gastzugang.
0
1 year ago
@mbert
Diese MAC-Listen (genauso wie eine "Unsichtbarkeit" der SSID ) sind Pseudo-Sicherheit. Besser gleich deaktivieren, machen eher Problem als Nutzen.
WPA2/WPA3-Verschlüsselungen und ein langer Schlüssel, das bestimmt deine WLAN-Sicherheit.
1
Answer
from
1 year ago
Diese MAC-Listen (genauso wie eine "Unsichtbarkeit" der SSID ) sind Pseudo-Sicherheit. Besser gleich deaktivieren, machen eher Problem als Nutzen.
Naja, sie machen aktuell Probleme, weil die Verwaltung der Funktion im Speedport nicht richtig funktioniert. Sie hat viele Jahre lang davor mit mehreren FritzBoxen keine Probleme bereitet.
Unlogged in user
Answer
from
1 year ago
nach MAC-Adressen eingeschränkte Liste der zugelassenen WLAN-Clients.
Vollkommen überflüssig. Dein WLAN ist verschlüsselt.
Viele Grüße
Thomas
0
1 year ago
Was genau willst du mit der Zugangsbeschränkung erreichen?? Heutige Geräte erzeugen wie hier erwähnt doch mittlerweile zufällige MAC-Adressen. Und auf diesen MAC-Adressen basiert doch meines Wissens nach diese Zugangsbeschränkung.
Also einfach weglassen. Ordentliche Verschlüsselung und gut ist. Und für Gäste das Gäste-WLAN.
AVMs FritzBoxen machen das seit Jahren absolut zuverlässig.
Mein Lieber. Was das angeht hat AVM aber auch so seine Probleme. Und auch andere. Sei es die WEB- GUI oder ähnliches.
Ein Beispiel? Warum bekommt es AVM seit gefühlt 10 Updates und unzähligen Labors nicht hin, das nach ca. 30 Tagen in der WEB- GUI die Störsicherheitseinstellungen nicht mehr aufgerufen werden können und dies erst ein komplettes Stromlos machen oder ein Neustart behebt? Oder das nach eben diesem genannten Zeitraum die WEB- GUI in ihrer Bedienung oder Reaktionszeit langsamer wird? Oder WLAN-Geräte als LAN angezeigt werden?
1
Answer
from
1 year ago
Heutige Geräte erzeugen wie hier erwähnt doch mittlerweile zufällige MAC-Adressen. Und auf diesen MAC-Adressen basiert doch meines Wissens nach diese Zugangsbeschränkung.
Dann ist das schlimmste, was mir passieren kann, dass ein legitimes Gerät keinen Zugriff erhält. Das wäre dann aber eher "zu viel Sicherheit" als zu wenig. Tatsächlich sind zufällige MAC-Adressen in der Regel Features, die man bei manchen Geräten als Option hat, die man aber selber aktivieren muss. Ich kenne das von meinem Smartphone. Da ich mit MAC-Adressen-Filterung arbeite, habe ich das Feature deaktiviert, und alle meine Geräte haben Zugang. Wenn die Funktion im Speedport meine Einstellungen richtig übernommen hat.
Sicherheit ist nie vollkommen. Und, wie schon woanders geschrieben, erhält man mit der MAC-Adressen-Zugangsbeschränkung eine weitere Schicht, und das ist mit Sicherheit eher besser als schlechter. Ob jemand Lust hat, sich die Verwaltung anzutun, ist dessen eigene Entscheidung.
Unlogged in user
Answer
from
1 year ago
Kleiner Nachtrag: ob die Funktion sinnvoll ist oder nicht, ist offenbar etwas, wozu es unterschiedliche Meinungen gibt. Aber das führt m.E. am Thema vorbei: wenn die Funktion zur Verfügung gestellt ist, dann muss sie korrekt implementiert sein. Und darum geht es in meinem Post oben.
9
Answer
from
1 year ago
Von "Fakten ignorieren" kann hier keine Rede sein.
dann ignorierst du allgemeines Wissen der IT Sicherheit, besser?
Da lässt sich auch nichts schön schreiben, es bringt keine erhöhte Sicherheit, keine.
Answer
from
1 year ago
dann ignorierst du allgemeines Wissen der IT Sicherheit, besser?
Nein, nicht besser. Egal, ob Du hier recht hast oder nicht: auf Argumente antwortet man mit Gegenargumenten und nicht mit "ich weiß es besser, und eigentlich weiß das die ganze Welt außer Dir". Das ist nicht die Art, auf die ich mit anderen umgehen möchte, und ich erlaube es auch anderen nicht mit mir. Insofern lassen wir das lieber mal. Frohe Ostern vorab schon mal.
Answer
from
1 year ago
Egal, ob Du hier recht hast oder nicht
darum geht es doch gar nicht.
Es ist allgemein in der IT Sicherheit anerkanntes Wissen dass dieses Feature keine Sicherheit bringt, im Gegenteil.
Das habe ich mir weder ausgedacht noch eruiert, es ist einfach allgemein anerkanntes Wissen.
Kannst du gerne anders sehen widerspricht dann eben dem Wissen der Fachleutn.
Unlogged in user
Answer
from
1 year ago
wenn die Funktion zur Verfügung gestellt ist, dann muss sie korrekt implementiert sein.
so sollte es sein
0
1 year ago
@mbert
Diese Aussage ist mit Sicherheit falsch.
Nicht wirklich. Denn diese Schutzmaßnahme ist als solche keine Schutzmaßnahme und wie es @der_Lutz erwähnt hat mehr problembehaftet als das sie einen sinnvollen Nutzen bringt.
Aber wie gesagt, darum geht es nicht. Eine angebotene Funktion sollte richtig funktionieren, oder sie sollte schlicht nicht enthalten sein.
Das ist richtig. Nur im Prinzip setzt es kein Anbieter wirklichohne Probleme um. Sei es AVM, Arcadyan, Sagemcom oder wer auch immer.
Schlussendlich könnte man jetzt vortrefflich und stundenlang darüber diskutieren. Aber Sinn macht es nicht, da zu viele unterschiedliche Meinungen. Wie di aber anhand der Kommentare feststellst sieht die Mehrheit keinen sinnvollen Nutzen darin. Genausowenig wie eine SSID zu verstecken.
Und da spielt es am Ende keine Rolle wie welcher Hersteller das funktional umsetzt oder nicht. Möchtest du etwas was wirklich professionell umgesetzt wird solltest du dich Mit professionellen Geräten wie z.B. Cisco, Lancom, OneAccess, Juniper und wie sie alle heißen zuwenden.
0
1 year ago
https://www.telekom.de/hilfe/downloads/bedienungsanleitung-speedport-smart-4-plus.pdf
Seite 225
“Hier können Sie einstellen, welche netzwerkfähigen Geräte auf das kabellose Heimnetz zugreifen können“ und der folgende Text bieten nicht mal andeutungsweise einen Hinweis, dass die Zugangsbeschränkung problematisch sein kann oder wenig sinnvoll ist.
1
Answer
from
1 year ago
und der folgende Text bieten nicht mal andeutungsweise einen Hinweis, dass die Zugangsbeschränkung problematisch sein kann oder wenig sinnvoll ist
und der folgende Text bieten nicht mal andeutungsweise einen Hinweis, dass die Zugangsbeschränkung problematisch sein kann oder wenig sinnvoll ist
Ja, sinnvoll wäre es, bei solchen Einstellungen auch zu dokumentieren, wie groß der Schutz durch eine jeweilige Maßnahme ist und wo seine Grenzen liegen.
Das sollte gerade bei Consumer-Geräten m.E. enthalten sein, da vermutlich nur eine kleine Minderheit im Detail versteht, was sich dahinter verbirgt.
Unlogged in user
Answer
from
1 year ago
Stichwort "Ignorieren".
@mbert
Also wie genau sollen jetzt die Entwickler deiner Meinung nach handeln, wenn selbst Fachleute dieser Zugansgbeschränkung per MAC-Adresse nur ein müdes lächeln schenken und die Softwareentwickler im Grunde nichts tun können, außer es so zu implementieren wie es ist und eine (lächerliche) Sicherheitsfunktion zur Verfügung zu stellen?
Das sollte gerade bei Consumer-Geräten m.E. enthalten sein, da vermutlich nur eine kleine Minderheit im Detail versteht, was sich dahinter verbirgt.
Glaube mir, das sich 99% der Consumer die ein Consumer-Router à la FRITZ!Box oder Speedport als Consumergerät betreiben sich mit diesen Zugangsbeschränkungen nicht mal ansatzweise beschäftigen geschweige denn aktiv nutzen.
Also. Möchtest du etwas in die Richtung wie du dir das vorstellst mußt du anstatt 100-180€ Beträge jenseits der dreistelligen Euro-Anschaffungskosten investieren. Habe ich dich ja schon drauf hingewiesen.
15
Answer
from
1 year ago
Nein, habe ich nie. Die App habe ich nicht einmal installiert.
Answer
from
1 year ago
Hallo @mbert,
die Kolleg*innen haben sich erneut bei mir gemeldet.
Aktuell können wir dir aber bedauerlicherweise keine adäquate Lösung anbieten. Es wird gerade daran gearbeitet, den von dir aufgezeigten Hinweis aufzuarbeiten. Wann es eine Lösung geben wird, ist aktuell noch ungewiss. Das rührt einfach daher, dass sich das Verhalten von diversen WLAN-Clients hinsichtlich der MAC-Adressierung im Laufe der Zeit verändert hat und somit eine Herausforderung an einer Zugangsbeschränkung stellt.
Eine weitere Möglichkeit, um dir weiteren Stress zu ersparen wäre das Gäste-WLAN. Ist nicht das, was du möchtest, das weiß ich, aber es wäre zumindest eine Übergangslösung.
Tut mir leid, dass ich dir aktuell keine andere Lösung präsentieren kann. 😕
Viele Grüße Lisa G.
Answer
from
1 year ago
Danke erst einmal für die Info!
Unlogged in user
Answer
from
Unlogged in user
Ask
from