Vraag

MAC-adres komt voor in LAN-cliënt maar geen IP adres uitgegeven door Experiabox V10

  • 8 November 2023
  • 6 reacties
  • 66 keer bekeken

Is het niet vreemd dat de DHCP Server van mijn Experia v10 geen IP-adres heeft toegewezen aan een specifiek MAC-adres (Status/Geavanceerd/DHCP), maar dat dit MAC-adres wel voorkomt in de LAN client status (Status/Geavanceerd/LAN)?

Ook op Home/LAN-instellingen komt dezelfde combinatie IP/MAC-adres voor.

Ik heb het MAC-adres bij DHCP binding een ander vast IP-adres toegewezen, maar dat heeft geen effect.

De verbinding is tot stand gekomen via een AP op een Arcadayan versterker. De WiFi op de AP heb ik uitgezet. Daarmee verdween de IP/MAC-adres-combinatie uit de Wireless Network Watcher.

Het betreffende apparaat heeft ondanks WiFi-toegang een LAN client status omdat de versterker via IP over coax op de Experia is aangesloten.

Er is hierna geen verbinding tot stand gekomen met de Experia WiFi, naar ik aanneem omdat de MAC ACL is ingeschakeld.

Helaas werkt de MAC ACL niet voor de (coax-) bedrade versterker, of zie ik hier iets over ’t hoofd?

Het MAC-adres is mij niet bekend en macvendors.com kan geen leverancier vinden. Vermoedelijk en hopelijk een willekeurig MAC-adres van een (nu nog standaard zo ingestelde) smartphone.

Kortom, moet ik mij zorgen maken om mijn digitale veiligheid?


6 reacties

Reputatie 7
Badge +9

Om welk type versterker gaat het precies?

 

https://tweakers.net/pricewatch/457255/kpn-wifi-versterker-dualband-arcadyan/specificaties/

Reputatie 7
Badge +15

@Anthonisz Een apparaat in je netwerk kan alleen verbinden met een kabel, of als deze in je wifi netwerk zit 

Zolang je dus je wifi gegevens voor jezelf houdt hoef je je geen zorgen te maken over je online veiligheid. 

Helaas begrijp ik je antwoord niet.

Ik signaleerde een drietal zaken.

Kennelijke inconsistentie in de verschillende statusvermeldingen in de Experia v10 (DHCP vs. LAN vs. Home/LAN).

Het wijzigen bij een verbonden apparaat van het dynamische IP-adres naar een statisch IP-adres heeft verrassenderwijs geen effect op de verbinding. (Er wordt weleens gesuggereerd dat dit de verbinding zou verbreken.)

Een apparaat dat niet op de switch van de bedrade versterker is aangesloten, maar draadloos contact maakt met de versterker, wordt door de Experia (uiteraard) gezien als een LAN-verbinding. En voor LAN kent de Experia, in tegenstelling tot een vorig modem van KPN, geen MAC Access Control (ACL). En jammer genoeg heeft de versterker - ik kan het niet ontdekken - geen WiFi MAC ACL. Ondanks de beperkingen van MAC ACL is dat dan toch een zwak punt in de beveiliging. Uitschakelen van beide WiFi Access Points op de versterker blokkeert dan uiteraard de toegang tot het netwerk van het onbekende apparaat via de WiFi van de Experia door de MAC ACL van de Experia. 

Wat betreft het onbekende MAC-adres. Inmiddels proefondervindelijk vastgesteld dat het een, zoals Apple dat noemt, ‘private wifi’ van een iPad betreft. Android, waarmee beter bekend, noemt dat een willekeurig MAC-adres en dat is standaard bij (opnieuw) aanmelden bij het netwerk. Waarom de iPad was overgeschakeld van apparaatadres naar 'private’ valt niet meer te achterhalen. 

 

 

Reputatie 7
Badge +8

De zogenoemde private mac adres wordt opnieuw aangemaakt als het wifi profiel qua naam een keer veranderd wordt of als het profiel een keer wordt ge-update op de ipad. Mogelijk misschien ook dat het gebeurt bij een firmware update.

Het kan wel degelijk mogelijk zijn om een MAC adres te zien terwijl er geen actief dhcp ip adres aan hangt of is uitgegeven. Een apparaat die simpelweg geen ip via dhcp aanvraagt zal dus op mac niveau zichtbaar zijn maar niet op dhcp niveau. Wijzigingen aan de dhcp hebben in een dergelijk situatie dan ook geen nut.

De reden dat dit soort wifi accesspoints zoals de superwifi geen mac filtering hebben komt vaak omdat dit een lokale apparaat filterfunctie is. 

Indien het er wel op zou zitten  dan zou superwifi 1 dus het desbetreffende mac adres uitfilteren en als het wifi apparaat zoals een ipad dan overspringt naar b.v. superwifi 2 waar het filter dan niet draait dan zou het apparaat gewoon weer verbinding kunnen maken via de ander superwifi.

Je zou dan dus ook alle ingevoerde mac addressen moeten synchroniseren naar alle wifi extenders. Vaak is dit soort functionaliteit niet voorzien in de software voor dit soort extenders.

 

Daar komt dan nog bij dat het mac adres iets standvastig was in het verleden maar nu kan dit dus regelmatig wisselen wat de beveiliging op mac niveau dus ook niet van hoog niveau maakt.

“De zogenoemde private mac adres wordt opnieuw aangemaakt als het wifi profiel qua naam een keer veranderd wordt of als het profiel een keer wordt ge-update op de ipad. Mogelijk misschien ook dat het gebeurt bij een firmware update.”

Dat is wat ik bedoelde met (opnieuw) aanmelden. En een firmware update leek me inderdaad ook 'n potentiele schuldige.

“Het kan wel degelijk mogelijk zijn om een MAC adres te zien terwijl er geen actief dhcp ip adres aan hangt of is uitgegeven. Een apparaat die simpelweg geen ip via dhcp aanvraagt zal dus op mac niveau zichtbaar zijn maar niet op dhcp niveau. Wijzigingen aan de dhcp hebben in een dergelijk situatie dan ook geen nut.”

Mijn constatering is dat er tegelijkertijd wél een IP/MAC-combinatie wordt vermeld (Status/LAN en Home) en géén IP/MAC-combinatie wordt vermeld (Status/DHCP). Dat lijkt mij inconsistent.

Wijzigen heeft ook in deze situatie, dus mét een toegewezen IP-adres, kennelijk geen zin. Dat vind ik verrassend, omdat door sommigen wel eens anders wordt beweerd.

“De reden dat dit soort wifi accesspoints zoals de superwifi geen mac filtering hebben komt vaak omdat dit een lokale apparaat filterfunctie is. 

Indien het er wel op zou zitten  dan zou superwifi 1 dus het desbetreffende mac adres uitfilteren en als het wifi apparaat zoals een ipad dan overspringt naar b.v. superwifi 2 waar het filter dan niet draait dan zou het apparaat gewoon weer verbinding kunnen maken via de ander superwifi.”

Volgens mij is de keuze voor een willekeurig  of apparaatgebonden MAC-adres aan een specifiek netwerk gebonden. (In het menu ga je eerst naar een specifiek netwerk voor je bij deze optie komt.) Dus kies voor het Experia-netwerk dan gewoon voor een apparaatgebonden MAC-adres.

En ik heb er ook maar 1 operationeel.

(Ik heb er 2 maar 2 KPN Arcadyans samen laten werken (beide bedraad of de een bedraad en de ander als extender van de bedrade is, ondanks veel advies op het forum, helaas nooit goed gelukt.)

“Je zou dan dus ook alle ingevoerde mac addressen moeten synchroniseren naar alle wifi extenders.”

Ja, dat klopt, of gewoon even zelf op de Experia en daarna op de versterker het MAC-apparaatadres invullen, dat kan ook.

“Vaak is dit soort functionaliteit niet voorzien in de software voor dit soort extenders.”

Je kan natuurlijk ook gewoon, zoals vroeger, de router van een MAC ACL voor LAN voorzien. Zolang de versterker bedraad is, werkt dat prima. Geen synchronisatie nodig.

Ook al heeft MAC ACL wat betreft veiligheid natuurlijk altijd nog zijn beperkingen (spoofing).

“Daar komt dan nog bij dat het mac adres iets standvastig was in het verleden maar nu kan dit dus regelmatig wisselen wat de beveiliging op mac niveau dus ook niet van hoog niveau maakt.”

Het tegenovergestelde is juist waar; wisselt het apparaat van (willekeurig) MAC-adres na een update of de wijziging van SSID en/of wachtwoord, dan komt het toch echt het netwerk niet meer op, daarmee is de beveiliging dan dus toegenomen, of, van de andere kant bezien, het gedoe.

Reageer