@Spiderguard Welkom op het forum.
Het klopt inderdaad dat de mac filtering op dit moment (nog) omzeilt wordt op de Superwifi punten.
Binnenkort komt er echter nieuwe firmware. En voor zover bij mij bekend wordt dit dan ook hersteld.
Voor de zekerheid doe ik hier nog navraag op. Ik kom hier later op terug!
Hoi @Spiderguard, ik heb een korte aanvulling op wat Rutger al aangaf. Dit wordt inderdaad opgelost door de nieuwe KPN Software voor onze modems en wifipunten. Op dit moment zijn we bezig met de (langzame) uitrol van deze software op de Box 12.
In deze versie zit de mac filtering nog niet, maar dat zal in de volgende versie daarvan wel beschikbaar zijn. Dus, als je een Box 12 hebt, dan is de oplossing in zicht. Houdt de Product Updates in de gaten.
@Spiderguard Welkom op het forum.
Het klopt inderdaad dat de mac filtering op dit moment (nog) omzeilt wordt op de Superwifi punten.
Binnenkort komt er echter nieuwe firmware. En voor zover bij mij bekend wordt dit dan ook hersteld.
Voor de zekerheid doe ik hier nog navraag op. Ik kom hier later op terug!
Hoi @Spiderguard, ik heb een korte aanvulling op wat Rutger al aangaf. Dit wordt inderdaad opgelost door de nieuwe KPN Software voor onze modems en wifipunten. Op dit moment zijn we bezig met de (langzame) uitrol van deze software op de Box 12.
In deze versie zit de mac filtering nog niet, maar dat zal in de volgende versie daarvan wel beschikbaar zijn. Dus, als je een Box 12 hebt, dan is de oplossing in zicht. Houdt de Product Updates in de gaten.
Heren, bedankt voor de update; dit is goed nieuws!
hebben jullie enig idee hoe ik kan zien dat mijn router geüpdatet is? Verandert de interface bv? Is een versienummer ergens te zien?
wederom bedankt!
Die update laat nog wel even op zich wachten hoor ... kan nog wel een maand duren...
Hoi @Spiderguard, ik heb een korte aanvulling op wat Rutger al aangaf. Dit wordt inderdaad opgelost door de nieuwe KPN Software voor onze modems en wifipunten. Op dit moment zijn we bezig met de (langzame) uitrol van deze software op de Box 12.
In deze versie zit de mac filtering nog niet, maar dat zal in de volgende versie daarvan wel beschikbaar zijn. Dus, als je een Box 12 hebt, dan is de oplossing in zicht. Houdt de Product Updates in de gaten.
Hoi Erik,
nog een korte vraag:
Heb je enig idee hoe ze de mac filter aan de super wifi punten toevoegen? Krijgt elk punt zijn eigen mac filter, of neemt elk punt de filter over die in de router is ingesteld?
Dank je!
Nu wordt mij een wifi punt aangesmeerd, die ervoor zorgt dat mijn netwerk minder veilig is.
Kort maar krachtig, MAC Filtering op wifi maakt je draadloze verbinding niet (veel) veiliger. MAC adressen zijn namelijk te spoofen waardoor het weinig meerwaarde heeft.
MAC Filtering voorkomt dus niet dat een kwaadwillende geen toegang kan krijgen tot je wifi verbinding, een moeilijk te raden wachtwoord en gebruik maken van de meest recente encryptie voorkomt dit ook niet maar maakt het wel aanzienlijk moeilijker.
Wil je het vanwege eventuele (kleine) kinderen dan heeft het misschien nog zin, hoewel ik uit eigen ervaring weet dat als die zich wat meer gaan inlezen in de technieken, het spoofen van MAC adressen wel één van de eerste dingen is wat ze zullen gaan proberen (ervaring mee ja).
Zie bijvoorbeeld ook deze topic hoe kinderlijk eenvoudig je onder Windows een MAC Adres kunt spoofen, voor Linux etc. zijn er ook allerlei leuke trucs te vinden. Dus voor het beveiligen van je wifi verbinding hoef je jezelf niet blind te staren op MAC Filtering.
Nu wordt mij een wifi punt aangesmeerd, die ervoor zorgt dat mijn netwerk minder veilig is.
Kort maar krachtig, MAC Filtering op wifi maakt je draadloze verbinding niet (veel) veiliger. MAC adressen zijn namelijk te spoofen waardoor het weinig meerwaarde heeft.
MAC Filtering voorkomt dus niet dat een kwaadwillende geen toegang kan krijgen tot je wifi verbinding, een moeilijk te raden wachtwoord en gebruik maken van de meest recente encryptie voorkomt dit ook niet maar maakt het wel aanzienlijk moeilijker.
Wil je het vanwege eventuele (kleine) kinderen dan heeft het misschien nog zin, hoewel ik uit eigen ervaring weet dat als die zich wat meer gaan inlezen in de technieken, het spoofen van MAC adressen wel één van de eerste dingen is wat ze zullen gaan proberen (ervaring mee ja).
Zie bijvoorbeeld ook deze topic hoe kinderlijk eenvoudig je onder Windows een MAC Adres kunt spoofen, voor Linux etc. zijn er ook allerlei leuke trucs te vinden. Dus voor het beveiligen van je wifi verbinding hoef je jezelf niet blind te staren op MAC Filtering.
spoofen wordt gebruikt om je identiteit te verbergen. In theorie zou het gebruikt kunnen worden om een beveiligd netwerk te betreden maar in praktijk gebeurt dit nauwelijks omdat je dan (een van) de Mac adres(sen) in de white list moet kennen. Ergo, het is wel degelijk een goede extra laag beveiliging.
Krijgt elk punt zijn eigen mac filter, of neemt elk punt de filter over die in de router is ingesteld?
Er is 1 centraal MAC filter. Geen filter per WiFi punt.
Krijgt elk punt zijn eigen mac filter, of neemt elk punt de filter over die in de router is ingesteld?
Er is 1 centraal MAC filter. Geen filter per WiFi punt.
Top! Dank je!
maar, hoe weet jij dat?
... omdat je dan (een van) de Mac adres(sen) in de white list moet kennen.
Daar kan een buurman of vrouw aan de andere kant van de muur wel achter komen. Met de juiste software op de laptop kan hij of zij alle pakketjes zien die door de lucht gaan. De inhoud is natuurlijk versleutelt, dus daar ziet die niets aan. Maar het MAC adres niet. Dat is gewoon zichtbaar voor iedereen. Dus als hij of zij een avondje meekijkt terwijl u nu.nl checkt heeft hij of zij zo uw MAC adres te pakken.
... omdat je dan (een van) de Mac adres(sen) in de white list moet kennen.
Daar kan een buurman of vrouw aan de andere kant van de muur wel achter komen. Met de juiste software op de laptop kan hij of zij alle pakketjes zien die door de lucht gaan. De inhoud is natuurlijk versleutelt, dus daar ziet die niets aan. Maar het MAC adres niet. Dat is gewoon zichtbaar voor iedereen. Dus als hij of zij een avondje meekijkt terwijl u nu.nl checkt heeft hij of zij zo uw MAC adres te pakken.
dat is niet zo eenvoudig; programmas als airodump werken alleen op netwerken zonder encryptie. Verder hebben de meeste devices een ‘nep’ mac adres. Deze gaat met de pakketten mee de lucht in ipv het echte, ge-white-list mac adres.
Hoe je het wendt of keert, het is een extra laag beveiliging; je moet in de buurt zijn, je moet software tot je beschikking hebben die ‘probet’ voor pakketten en hopen dat de juiste wordt gevist en het moet op een onbeveiligd (ex-encryptie) netwerk zijn. Daarna, zou je een sterk wachtwoord moeten brute-force.
enfin, geen realistisch scenario
Ja je buurt zijn. Dat is logisch. Dat is altijd zo met WiFi 
Die software is zo op internet beschikbaar. En dat "nep mac adres" verzint u hier ter plekke.
Ja je buurt zijn. Dat is logisch. Dat is altijd zo met WiFi
Die software is zo op internet beschikbaar. En dat "nep mac adres" verzint u hier ter plekke.
Doe aub even een beetje onderzoek voor je gaat gooien met ad-hominems alleen omdat je op je pik getrapt bent. We zijn aan het converseren, niet aan het debatteren; er valt hier niets te winnen.
sjonge jonge…
spoofen wordt gebruikt om je identiteit te verbergen.
Gebruikt om je identiteit te verbergen en/of misbruikt om je voor te doen als een ander.
In theorie zou het gebruikt kunnen worden om een beveiligd netwerk te betreden maar in praktijk gebeurt dit nauwelijks omdat je dan (een van) de Mac adres(sen) in de white list moet kennen.
En dat is in principe een fluitje van een cent, al in 2006-2007 was het kinderlijk eenvoudig om bijvoorbeeld via de ingebouwde Site Survey die in de DD-WRT firmwares zat wifi netwerken in je directe omgeving te scannen en kijken welke cliënts daarmee verbonden waren zonder dat jij daarmee verbonden hoede te zijn.
Die MAC adress(sen) kan je - omdat ze vrij via de ether worden verzonden - gewoon sniffen. Tooltjes als Wireshark (met AirPCAP) en voila. Laat ik het zelfs zo zeggen, op deze manier liet mijn zoon van inmiddels 16 zien dat de Ubiquiti Unifi Guest Hotspot zonder wachtwoord, zo lek als een mandje is. Was een projectje vanuit school om even te laten zien dat MAC adressen spoofen kinderlijk eenvoudig is.
dat is niet zo eenvoudig; programmas als airodump werken alleen op netwerken zonder encryptie. Verder hebben de meeste devices een ‘nep’ mac adres. Deze gaat met de pakketten mee de lucht in ipv het echte, ge-white-list mac adres
Dat kan niet, voordat er encryptie wordt opgezet wordt er altijd eerst d.m.v. de HWMAC een verbinding opgezet van cliënt naar host. Als het MAC adres niet in een whitelist staat (uitgaande dat MAC Filtering wordt toegepast) dan wordt al per definitie de verbinding geweigerd. Als deze wel in een whitelist staat pas dan zal er een verbinding tot stand worden gebracht en zal de cliënt het wachtwoord naar de host sturen. Dit is trouwens ook mooi te zien als je een sniffer hebt meedraaien op je router of accesspoint
Misschien kan je wel gebruik maken van een VMacID maar dan praat je sowieso al niet over door hardware die ISP's leveren.
Dat je in de buurt moet zijn is natuurlijk logisch, maar een kwaadwillende of een kiddo die zich stierlijk verveelt, zijn ouders wilt laten zien wat het geleerd heeft, heeft maar een minuut of 5-10 nodig. Het internet (Youtube bijv.) staat trouwens bomvol met trucs hoe je wifi signalen kunt sniffen zonder er überhaupt meer verbonden te hoeven zijn waarin de getoonde voorbeelden MAC adressen getoond worden van cliënts en accesspoints.
Een 10 minuten durende tutorial waarin kinderlijk eenvoudig wordt getoond en uitgelegd hoe of wat. In dit geval toont hij public Wifi, maar als je een SSID van een beveiligde netwerk intikt zie je de daarmee verbonden cliënts.
Note; Een kwaadwillend iemand of een kiddo die daar zin in heeft neemt overigens echt wel de moeite om binnen 10-15 minuten e.e.a. voor elkaar te krijgen.
spoofen wordt gebruikt om je identiteit te verbergen.
Gebruikt om je identiteit te verbergen en/of misbruikt om je voor te doen als een ander.
In theorie zou het gebruikt kunnen worden om een beveiligd netwerk te betreden maar in praktijk gebeurt dit nauwelijks omdat je dan (een van) de Mac adres(sen) in de white list moet kennen.
En dat is in principe een fluitje van een cent, al in 2006-2007 was het kinderlijk eenvoudig om bijvoorbeeld via de ingebouwde Site Survey die in de DD-WRT firmwares zat wifi netwerken in je directe omgeving te scannen en kijken welke cliënts daarmee verbonden waren zonder dat jij daarmee verbonden hoede te zijn.
Die MAC adress(sen) kan je - omdat ze vrij via de ether worden verzonden - gewoon sniffen. Tooltjes als Wireshark (met AirPCAP) en voila. Laat ik het zelfs zo zeggen, op deze manier liet mijn zoon van inmiddels 16 zien dat de Ubiquiti Unifi Guest Hotspot zonder wachtwoord, zo lek als een mandje is. Was een projectje vanuit school om even te laten zien dat MAC adressen spoofen kinderlijk eenvoudig is.
dat is niet zo eenvoudig; programmas als airodump werken alleen op netwerken zonder encryptie. Verder hebben de meeste devices een ‘nep’ mac adres. Deze gaat met de pakketten mee de lucht in ipv het echte, ge-white-list mac adres
Dat kan niet, voordat er encryptie wordt opgezet wordt er altijd eerst d.m.v. de HWMAC een verbinding opgezet van cliënt naar host. Als het MAC adres niet in een whitelist staat (uitgaande dat MAC Filtering wordt toegepast) dan wordt al per definitie de verbinding geweigerd. Als deze wel in een whitelist staat pas dan zal er een verbinding tot stand worden gebracht en zal de cliënt het wachtwoord naar de host sturen. Dit is trouwens ook mooi te zien als je een sniffer hebt meedraaien op je router of accesspoint
Misschien kan je wel gebruik maken van een VMacID maar dan praat je sowieso al niet over door hardware die ISP's leveren.
Dat je in de buurt moet zijn is natuurlijk logisch, maar een kwaadwillende of een kiddo die zich stierlijk verveelt, zijn ouders wilt laten zien wat het geleerd heeft, heeft maar een minuut of 5-10 nodig. Het internet (Youtube bijv.) staat trouwens bomvol met trucs hoe je wifi signalen kunt sniffen zonder er überhaupt meer verbonden te hoeven zijn waarin de getoonde voorbeelden MAC adressen getoond worden van cliënts en accesspoints.
Een 10 minuten durende tutorial waarin kinderlijk eenvoudig wordt getoond en uitgelegd hoe of wat. In dit geval toont hij public Wifi, maar als je een SSID van een beveiligde netwerk intikt zie je de daarmee verbonden cliënts.
Note; Een kwaadwillend iemand of een kiddo die daar zin in heeft neemt overigens echt wel de moeite om binnen 10-15 minuten e.e.a. voor elkaar te krijgen.
Allemaal waar. Toch is het een extra laag beveiliging;
Je kan een wachtwoord instellen, je kan je ssid verbergen en een wachtwoord instellen, je kun een mac filter instellen, je ssid verbergen en een sterk wachtwoord instellen. Dit zijn drie lagen, waar geen een kiddo makkelijk doorheen komt al heb je geluk en snif je precies de juist mac adressen, wat onwaarschijnlijk is.
SSID verbergen is al net zo nutteloos.
https://id.nl/huis-en-entertainment/computer-en-gaming/netwerk/dit-is-waarom-je-je-wifi-netwerk-niet-hoeft-te-verbergen
Zorg gewoon voor een sterk wachtwoord. Verander dat eventueel regelmatig. That's it.
SSID verbergen is al net zo nutteloos.
https://id.nl/huis-en-entertainment/computer-en-gaming/netwerk/dit-is-waarom-je-je-wifi-netwerk-niet-hoeft-te-verbergen
Zorg gewoon voor een sterk wachtwoord. Verander dat eventueel regelmatig. That's it.
Op het moment dat je een extra stap moet maken om je doel te bereiken, heeft het per definitie al nut. Niemand hier claimt dat het verbergen van je ssid, of het gebruik maken van een mac filter, waterdicht zijn. Het is een extra laag; net weer een paar extra stappen die iemand moet zetten om je netwerk in te dringen om er daan achter te komen dat ze 340 jaar nodig hebben om je wachtwoord te brute forcen ;)
Je kan een wachtwoord instellen, je kan je ssid verbergen en een wachtwoord instellen, je kun een mac filter instellen, je ssid verbergen en een sterk wachtwoord instellen. Dit zijn drie lagen, waar geen een kiddo makkelijk doorheen komt al heb je geluk en snif je precies de juist mac adressen, wat onwaarschijnlijk is.
Een wachtwoord is het veiligste van alle drie de zaken die je noemt.
SSID verbergen,
Je bedoelt Security by Obscurity?
Overigens ook maar 5 minuten werk
Voor iedere extra stap die iemand moet maken, maak je het alleen maar interessanter aangezien je klaarblijkelijk iets te verbergen hebt.
Een beetje vergelijkbaar als je huis uit 1940 voorzien van hoge hekken met van die mooie scherp uitstekende punten, de woning voorzien van dure rolluiken en op iedere hoek van het huis camera's. Klaarblijkelijk heb je dan echt iets van waarde en dat is juist iets wat 10 minuten (want meer tijd heb je niet nodig om een MAC adres te ontdekken, spoofen en een verborgen SSID zichtbaar te maken). Maar het getuigt dan wel dat het zeer de moeite waard is om te brute forcen.
Echte kwaadwillende mensen (of scriptkiddies die stoer willen doen) gaan die uitdaging van een paar minuten met heel veel liefde en plezier aan.
Wil je een veilige verbinding zonder enig kans dat iemand in de omgeving toegang krijgt tot die verbinding en daarop aangesloten devices zal je toch echt bekabeld moeten gaan werken.
Je kan een wachtwoord instellen, je kan je ssid verbergen en een wachtwoord instellen, je kun een mac filter instellen, je ssid verbergen en een sterk wachtwoord instellen. Dit zijn drie lagen, waar geen een kiddo makkelijk doorheen komt al heb je geluk en snif je precies de juist mac adressen, wat onwaarschijnlijk is.
Een wachtwoord is het veiligste van alle drie de zaken die je noemt.
SSID verbergen,
Je bedoelt Security by Obscurity?
Overigens ook maar 5 minuten werk
Voor iedere extra stap die iemand moet maken, maak je het alleen maar interessanter aangezien je klaarblijkelijk iets te verbergen hebt. Een beetje als je huis uit 1940 voorzien van hoge hekken met van die mooie scherp uitstekende punten, de woning voorzien van dure rolluiken en op iedere hoek van het huis camera's. Klaarblijkelijk heb je dan echt iets van waarde en dat is juist iets wat 10 minuten (want meer tijd heb je niet nodig om een MAC adres te ontdekken, spoofen en een verborgen SSID zichtbaar te maken).
Echte kwaadwillende mensen (of scriptkiddies die stoer willen doen) gaan die uitdaging van een paar minuten met heel veel liefde en plezier aan.
Wil je een veilige verbinding zonder enig kans dat iemand in de omgeving toegang krijgt tot die verbinding en daarop aangesloten devices zal je toch echt bekabeld moeten gaan werken.
Ik begrijp wat je bedoelt, maar statistisch gezien wordt er veel minder ingebroken in huizen die waarneembaar goed beveiligd zijn; ook huizen uit 1940 met punt-hekjes ;) Ik heb zo'n vermoeden dat dit ook geldt voor goed beveiligde digitale omgevingen. Overigens vind ik het onverstandig om te zeggen: “hey dit is geen geweldige beveiliging, dus doe maar helemaal niks”. Een extra slot is een extra slot.