Om welk type versterker gaat het precies?
https://tweakers.net/pricewatch/457255/kpn-wifi-versterker-dualband-arcadyan/specificaties/
@Anthonisz Een apparaat in je netwerk kan alleen verbinden met een kabel, of als deze in je wifi netwerk zit
Zolang je dus je wifi gegevens voor jezelf houdt hoef je je geen zorgen te maken over je online veiligheid.
Helaas begrijp ik je antwoord niet.
Ik signaleerde een drietal zaken.
Kennelijke inconsistentie in de verschillende statusvermeldingen in de Experia v10 (DHCP vs. LAN vs. Home/LAN).
Het wijzigen bij een verbonden apparaat van het dynamische IP-adres naar een statisch IP-adres heeft verrassenderwijs geen effect op de verbinding. (Er wordt weleens gesuggereerd dat dit de verbinding zou verbreken.)
Een apparaat dat niet op de switch van de bedrade versterker is aangesloten, maar draadloos contact maakt met de versterker, wordt door de Experia (uiteraard) gezien als een LAN-verbinding. En voor LAN kent de Experia, in tegenstelling tot een vorig modem van KPN, geen MAC Access Control (ACL). En jammer genoeg heeft de versterker - ik kan het niet ontdekken - geen WiFi MAC ACL. Ondanks de beperkingen van MAC ACL is dat dan toch een zwak punt in de beveiliging. Uitschakelen van beide WiFi Access Points op de versterker blokkeert dan uiteraard de toegang tot het netwerk van het onbekende apparaat via de WiFi van de Experia door de MAC ACL van de Experia.
Wat betreft het onbekende MAC-adres. Inmiddels proefondervindelijk vastgesteld dat het een, zoals Apple dat noemt, ‘private wifi’ van een iPad betreft. Android, waarmee beter bekend, noemt dat een willekeurig MAC-adres en dat is standaard bij (opnieuw) aanmelden bij het netwerk. Waarom de iPad was overgeschakeld van apparaatadres naar 'private’ valt niet meer te achterhalen.
De zogenoemde private mac adres wordt opnieuw aangemaakt als het wifi profiel qua naam een keer veranderd wordt of als het profiel een keer wordt ge-update op de ipad. Mogelijk misschien ook dat het gebeurt bij een firmware update.
Het kan wel degelijk mogelijk zijn om een MAC adres te zien terwijl er geen actief dhcp ip adres aan hangt of is uitgegeven. Een apparaat die simpelweg geen ip via dhcp aanvraagt zal dus op mac niveau zichtbaar zijn maar niet op dhcp niveau. Wijzigingen aan de dhcp hebben in een dergelijk situatie dan ook geen nut.
De reden dat dit soort wifi accesspoints zoals de superwifi geen mac filtering hebben komt vaak omdat dit een lokale apparaat filterfunctie is.
Indien het er wel op zou zitten dan zou superwifi 1 dus het desbetreffende mac adres uitfilteren en als het wifi apparaat zoals een ipad dan overspringt naar b.v. superwifi 2 waar het filter dan niet draait dan zou het apparaat gewoon weer verbinding kunnen maken via de ander superwifi.
Je zou dan dus ook alle ingevoerde mac addressen moeten synchroniseren naar alle wifi extenders. Vaak is dit soort functionaliteit niet voorzien in de software voor dit soort extenders.
Daar komt dan nog bij dat het mac adres iets standvastig was in het verleden maar nu kan dit dus regelmatig wisselen wat de beveiliging op mac niveau dus ook niet van hoog niveau maakt.
“De zogenoemde private mac adres wordt opnieuw aangemaakt als het wifi profiel qua naam een keer veranderd wordt of als het profiel een keer wordt ge-update op de ipad. Mogelijk misschien ook dat het gebeurt bij een firmware update.”
Dat is wat ik bedoelde met (opnieuw) aanmelden. En een firmware update leek me inderdaad ook 'n potentiele schuldige.
“Het kan wel degelijk mogelijk zijn om een MAC adres te zien terwijl er geen actief dhcp ip adres aan hangt of is uitgegeven. Een apparaat die simpelweg geen ip via dhcp aanvraagt zal dus op mac niveau zichtbaar zijn maar niet op dhcp niveau. Wijzigingen aan de dhcp hebben in een dergelijk situatie dan ook geen nut.”
Mijn constatering is dat er tegelijkertijd wél een IP/MAC-combinatie wordt vermeld (Status/LAN en Home) en géén IP/MAC-combinatie wordt vermeld (Status/DHCP). Dat lijkt mij inconsistent.
Wijzigen heeft ook in deze situatie, dus mét een toegewezen IP-adres, kennelijk geen zin. Dat vind ik verrassend, omdat door sommigen wel eens anders wordt beweerd.
“De reden dat dit soort wifi accesspoints zoals de superwifi geen mac filtering hebben komt vaak omdat dit een lokale apparaat filterfunctie is.
Indien het er wel op zou zitten dan zou superwifi 1 dus het desbetreffende mac adres uitfilteren en als het wifi apparaat zoals een ipad dan overspringt naar b.v. superwifi 2 waar het filter dan niet draait dan zou het apparaat gewoon weer verbinding kunnen maken via de ander superwifi.”
Volgens mij is de keuze voor een willekeurig of apparaatgebonden MAC-adres aan een specifiek netwerk gebonden. (In het menu ga je eerst naar een specifiek netwerk voor je bij deze optie komt.) Dus kies voor het Experia-netwerk dan gewoon voor een apparaatgebonden MAC-adres.
En ik heb er ook maar 1 operationeel.
(Ik heb er 2 maar 2 KPN Arcadyans samen laten werken (beide bedraad of de een bedraad en de ander als extender van de bedrade is, ondanks veel advies op het forum, helaas nooit goed gelukt.)
“Je zou dan dus ook alle ingevoerde mac addressen moeten synchroniseren naar alle wifi extenders.”
Ja, dat klopt, of gewoon even zelf op de Experia en daarna op de versterker het MAC-apparaatadres invullen, dat kan ook.
“Vaak is dit soort functionaliteit niet voorzien in de software voor dit soort extenders.”
Je kan natuurlijk ook gewoon, zoals vroeger, de router van een MAC ACL voor LAN voorzien. Zolang de versterker bedraad is, werkt dat prima. Geen synchronisatie nodig.
Ook al heeft MAC ACL wat betreft veiligheid natuurlijk altijd nog zijn beperkingen (spoofing).
“Daar komt dan nog bij dat het mac adres iets standvastig was in het verleden maar nu kan dit dus regelmatig wisselen wat de beveiliging op mac niveau dus ook niet van hoog niveau maakt.”
Het tegenovergestelde is juist waar; wisselt het apparaat van (willekeurig) MAC-adres na een update of de wijziging van SSID en/of wachtwoord, dan komt het toch echt het netwerk niet meer op, daarmee is de beveiliging dan dus toegenomen, of, van de andere kant bezien, het gedoe.