MAC filtering werkt niet meer na update naar V12.25.06.026

Ik ondervind ook vergelijkbare problemen met MAC filtering in de firmware versie V12.C.25.06.06 op mijn KPN Box 12.

Ik kan geen connectie meer krijgen met een wat oudere laptop, waarvan het MAC toegestaan was. Nu is mijn hele MAC lijst verdwenen, maak kom ik toch mijn WIFI niet op met die laptop.

Ik ondervind ook problemen met MAC filtering op mijn KPN Box 12 modem met firmware versie V12.C.25.06.06.

Ik kom mijn WiFi netwerk niet meer op met een wat oudere laptop, terwijl mijn toegestane MAC lijst ineens leeg is.

Wanneer wordt de gerepareerde firmware uitgerold?

Hoi ​@Klant4, ik heb je berichten in verschillende andere topics even hier samengevoegd in een eigen topic. Zoals je zelf al hebt gemerkt werkt de MAC filtering in deze versie van de Box 12 niet. Dit is een probleem met de interfacelaag van de software en wordt hersteld in de komende versie. Die verwachten we op korte termijn. Zodra de nieuwe versie beschikbaar is, dan zullen we hiervoor een nieuwe Product Update schrijven. Je kunt je abonneren op de Product Updates, dan krijg je een e-mail als er een nieuwe is.

In de tussentijd kun je de Box 12 resetten om de MAC lijst onder water leeg te vegen. Dan kun je met de oudere laptop in ieder geval weer online. En dan kun je verder, als workaround voor het beheren van internettoegang, Ouderlijk Toezicht gebruiken.

Beste ​@Klant4 MASC-filtering is totaal niet nodig volgens Apple, zie onderstaand citaat uit hun instellingenpagina:

MAC-adresfiltering, authenticatie of toegangscontrole
Ingesteld op Uitgeschakeld.

Als deze functie is ingeschakeld, kan je router zo worden ingesteld dat alleen apparaten met opgegeven MAC-adressen (Media Access Control) toegang krijgen tot het netwerk. Er zijn verschillende redenen waarom je niet moet vertrouwen op deze functie om ongeoorloofde toegang tot je netwerk te voorkomen:

• Personen die je netwerk in de gaten houden, kunnen verkeer op het netwerk alsnog monitoren of onderscheppen.

• MAC-adressen kunnen eenvoudig worden gekopieerd, vervalst (geïmiteerd) of gewijzigd.

• Om de privacy van gebruikers te beschermen, gebruiken sommige Apple apparaten voor elk wifinetwerk een ander MAC-adres.

Als je de toegang tot het netwerk veilig wilt afschermen, moet je in plaats daarvan de juiste beveiligingsinstelling gebruiken.

@Erik Dank voor je snelle reactie. Ik heb me (hopelijk) geabonneerd op enkel KPN Box 12 updates. Dank voor de tip. Wordt het mogelijk om een hele lijst van MAC adressen in één keer te importeren? Ook zou ik het veiliger vinden wanneer HTTPS weer terug komt op de webinterface. Plaintext passwords over de lijn sturen voor de admin interface voor het LAN management, is minder veilig. Graag zou ik beide functies weer werkend willen zien worden. Met de oude interface kon dit ook. De nieuwe interface is in zijn huidige vorm een verslechtering qua de veiligheid van klanten. Zijn admin wachtwoorden overigens remote opgeslagen of inzichtelijk (geweest) voor support personeel, gezien dit onveranderd overgenomen is op de nieuwe (door KPN zelfgebouwde) firmware?

​@JanD Dank voor je goedbedoelde reactie. Ik eet appels, maar luister niet naar ze. :) Alle gekheid op een stokje. Beveiliging is niet een statisch iets, maar vertraagt slechts een aanvaller.  Iedere drempel die je opwerpt is er één die eerst overkomen moet worden. Afgezien van het feit dat middels MAC spoofing deze beveiligingsmaatregel omzeild kan worden, maakt een persoon zich wel strafbaar (zie:  MAC spoofing can become illegal ). Dus voor de wet maakt het wel uit wanneer iemand MAC filtering omzeilt. Zodoende grijp ik ook MAC filtering aan om mijn LAN te beveiligen.
MAC staat overigens voor Medium Access Control layer (bron: ETSI). 

Beveiliging baseert op MAC-adressen is net zo goed als je een stikker op jouw voordeur plakt "Iedereen met voornaam Jan met een geldige sleutel mag door deze deur gaan”. Een inbreker met een valse naam "Jan” kan jouw slot open breken en naar binnen gaan. De eis van voornaam Jan brengt geen enkele toegevoegde voorwaarde. MAC spoofing is helemaal niet moeilijk, omdat jouw MAC-adres niet versleuteld overgedragen wordt. Iedereen in de buurt kan een stuk netwerk-verkeer meeluisteren en jouw MAC achterhalen. De inbreker overtreedt al een wet, inbreken in vreemde netwerken, dus of MAC-spoofing legal of illegaal is, boeit niemand.

Je analogie gaat niet op. Er is namelijk helemaal geen geldige sleutel. Daarbij vervals je je naam en pleeg je al valsheid in geschifte. Je spooft het door de device manufacterer uitgegeven unieke MAC adres. Dit moet in eerste instantie op je hardware interface technisch mogelijk zijn en dat is zeker niet altijd het geval. Verder overtreedt je de wet al wanneer je met je gespoofte MAC adres pakketjes gaat communiceren nog voordat je aan een wachtwoord aanval begonnen bent.

Het is slechts een extra drempel, die je opwerpt, die eerst overkomen moet worden. Beveiliging remt een aanvaller slechts af en wanneer je buren dat niet gebruiken zal hun netwerk nog gemakkelijker aan te vallen zijn.

Ik zeg helemaal niet dat MAC filtering zaligmakend is. Dit is echter wat we in ons arsenaal voorhanden hebben. Dus waarom zou je de deur verder open zetten?

Maar hier is helemaal geen beveiliging, iemand met intentie jouw netwerk in te breken kan met of zonder MAC-filter doen, de nodige moeite zijn in 2 gevallen gelijk.

En denk je nu echt dat iemand zich daar wat van aantrekt?

Op de meeste apparaten is dat tegenwoordig wel mogelijk. Een aanvaller zal natuurlijk een apparaat gebruiken waarop dat kan.

Nogmaals: daar trekt toch helemaal niemand zich wat van aan joh ... 😁

Ja... een drempel die met potlood getekend is op de vloer…

In bedrijfsnetwerken kom je het (bijna) nooit tegen. Omdat men weet dat het zinloos is. Het zijn altijd consumenten die er mee lopen te klooien. Zinloze tijdverspilling. 

Op het moment is het nog zo dat als je je abonneert, je van elke Product Update een mail krijgt. We hopen dat in de toekomst te kunnen uitbreiden naar kunnen abonneren op specifieke producten of productgebieden.

Ja, technisch gezien kan dat namelijk nu al. Alleen omdat die interfacelaag het niet goed doet werkt dat ook niet. Dus dat zal dan ook weer gewoon werken zodra de interfacelaag hersteld is in de komende versie.

Zijn we op het moment niet van plan. Dat brengt ook weer zijn eigen extra werk mee in het regelmatig moeten vervangen/bijwerken van certificaten. En uiteindelijk kun je de webinterface alleen bereiken vanuit je eigen netwerk. En deels door middel van de MijnKPN app, en die heeft beveiligde inlog. 

Nee. Nu niet, voorheen ook niet. Het default adminwachtwoord is alleen inzichtelijjk via de sticker achterop, dus dan moet je fysiek bij het modem zijn. Heb je hem zelf aangepast, dan ben jij ook de enige die dat wachtwoord weet.