toegang verlenen o.b.v. MAC-adres

Status
Niet open voor verdere reacties.
L

LtB

Forum Gebruiker
Berichten
23
Op mijn vorige modem (van ADSL) kon ik iemands MAC-adres blokkeren: zo van jij mag er altijd in (witte lijst), en jij komt er niet meer in (Zwarte lijst).
Dat laatste deed ik met mijn gestolen laptop, en met de smartphone van mijn buurman. Beetje te nieuwsgierig tiepje...

Ik ben nog allerlei dingen aan het regelen, maar zogauw de boel marcheert, wil ik het lijstje MAC-adressen in ere herstellen.

Er is wel een pagina MAC filtering, maar de omschrijving van de functie is cryptisch, en de geavanceerde handleiding voegt aan de omschrijving niets toe.
Eigennlijk ben ik zwaar teleugesteld in de kwaliteit van het handboek. Het handboek van de Thomson router is veel gestructureerd, en ook veel beter vertaald. (Ben zelf o.a. technisch vertaler).

Wie heeft ervaring met MAC access control?
 
xahmol

xahmol

Forum Gebruiker
Berichten
6.626
Internet
  1. Ziggo
Digitale TV
  1. Ziggo
Je weet dat MAC filtering een compleet wassen neus is want door iedereen met een beetje kennis van zaken heel simpel te omzeilen?

Het password van je wifi veranderen heeft veel meer zin. Dan kan je oude laptop of je buurman nml ook niet op je wifi.

Oud artikel maar nog steeds erg waar:
The six dumbest ways to secure a wireless LAN
https://www.zdnet.com/blog/ou/the-six-dumbest-ways-to-secure-a-wireless-lan/43

MAC filtering: This is like handing a security guard a pad of paper with a list of names. Then when someone comes up to the door and wants entry, the security guard looks at the person's name tag and compares it to his list of names and determines whether to open the door or not. Do you see a problem here? All someone needs to do is watch an authorized person go in and forge a name tag with that person's name. The comparison to a wireless LAN here is that the name tag is the MAC address. The MAC address is just a 12 digit long HEX number that can be viewed in clear text with a sniffer. A sniffer to a hacker is like a hammer to a carpenter except the sniffer is free. Once the MAC address is seen in the clear, it takes about 10 seconds to cut-paste a legitimate MAC address in to the wireless Ethernet adapter settings and the whole scheme is defeated. MAC filtering is absolutely worthless since it is one of the easiest schemes to attack. The shocking thing is that so many large organizations still waste the time to implement these things. The bottom line is, MAC filtering takes the most effort to manage with zero ROI (return on investment) in terms of security gain.
Klik om te vergroten...

Follow-up artikel met zelfde strekking: https://www.zdnet.com/blog/ou/wireless-lan-security-myths-that-wont-die/454

(oh, en voor je daar aan dacht, je SSID naam op hidden zetten is nummer twee van die zes domste manieren om je wifi te beveiligen, lees het artikel in de link maar verder)
 
Laatst bewerkt door een moderator:
Briolet

Briolet

Forum Gebruiker
Berichten
4.237
Internet
  1. Ziggo
Digitale TV
  1. Ziggo
Als je echte controle over je inloggers wilt hebben moet je WPA2-enterprise gebruiken. Dan is er niet één wachtwoord voor iedereen, maar elke inlogger krijgt zijn eigen account en wachtwoord. Als je dan een client wilt tegenhouden hoef je alleen zijn account uit te schakelen i.p.v. een nieuw algemeen wachtwoord te kiezen waardoor ook alle oude inloggers er niet meer in komen.

Jammer dat alleen mijn laptop dat protocol ondersteunt. Mijn tablet kon er niets mee, dus moest ik het weer uitzetten. Je hebt er wel een radius server voor nodig, maar sinds dit jaar zit die standaard in de Synology nas.
 
xahmol

xahmol

Forum Gebruiker
Berichten
6.626
Internet
  1. Ziggo
Digitale TV
  1. Ziggo
@Briolet: dat is inderdaad nog beter in theorie, maar zoals je terecht al aangeeft heb je daar in de praktijk helemaal niets aan zolang de meeste niet PC apparatuur (tablets, smartphones, netwerkstreamers, etc) dat niet ondersteunen.
 
AC

AC

Forum Gebruiker
Berichten
1.577
In Wifi security is het al net zoals in de normale huis beveiliging. Zorg dat je je spullen net even beter hebt afgeschermd dan je buren en men slaat je dan veel sneller over.

Dat is met WiFi net zo. Waarom zou iemand nu jou specifiek moeten hebben? Mogelijk iemand met wraak, maar dan zijn er nog wel andere manieren.

Zorg voor up-to-date spul en software + verwissel geregeld je wachtwoorden , gebruik nooit twee keer zelfde wachtwoord en neem per account (dienst) een andere wachtwoord en klaar... menig mens heeft jaren lang dezelfde wachtwoorden en gebruikt dit ook voor alle systemen.

O ja, gebruik voor een admin account nooit een bekende (account) naam, maar iets van [email protected]!:01 voor een admin account-naam is heel lastig te gokken... (beveiligingen werken heel vaak via twee-weg systeem. Een naam en een wachtwoord, als je de naam al kent bijvoorbeeld: Admin is 50% van het systeem al bekent heb je alleen nog een wachtwoord te kraken)

Dus een router met Mac filters is net even meer dan eentje zonder. Niet veel, maar toch net even meer. Gerichte aanval hou je toch minder makkelijk tegen.
 
mesa57

mesa57

Forum Gebruiker
Berichten
5.461
De enige situatie waarin ooit mac filters gebruikt heb is in een wifi bedrijfsnetwerkje waar op een gegeven moment iedereen het wpa2 paswoord ging delen voor wifi access met hun mobieltjes waardoor het netwerk regelmatig niet meer functioneerde. Mac spoofing had nog niemand van gehoord.

Mac filtering heeft m.i. totaal geen zin.
 
xahmol

xahmol

Forum Gebruiker
Berichten
6.626
Internet
  1. Ziggo
Digitale TV
  1. Ziggo
@AC: Probleem met MAC filtering is dat het niet alleen geen enkele zin heeft, maar bovendien veel werk is en je eigen leven een stuk lastiger maakt als je met nieuwe of wisselende apparaten online gaat.

En überhaupt beveiliging hebben maakt je vaak al niet de slechtst beveiligde. Zeker als je SSID niet zoals is als UPCxxxxx of Ziggoxxxx of erger nog Linksys met het password op admin.
Dus devies blijft dat goede WPA2 beveiliging met een sterk wachtwoord als enige zin heeft.

Verder is een bewust nieuwsgierige buurman nu net iemand die niet bij de eerste tegenslag naar een ander wifi netwerk gaat.....
 
AC

AC

Forum Gebruiker
Berichten
1.577
mesa57 zei:
De enige situatie waarin ooit mac filters gebruikt heb is in een wifi bedrijfsnetwerkje waar op een gegeven moment iedereen het wpa2 paswoord ging delen voor wifi access met hun mobieltjes waardoor het netwerk regelmatig niet meer functioneerde. Mac spoofing had nog niemand van gehoord.

Mac filtering heeft m.i. totaal geen zin.
Klik om te vergroten...

Mac Filtering heeft wel zin, maar niet tegen gerichte pogingen om de boel te ondermijnen. Ik weet 100% zeker dat mijn buurman niet weet hoe hij dit moet organiseren en daarmee kan hij onmogelijk door deze filters heen komen.

Iemand met meer verstand van hoe dit werkt zal hier wel omheen komen.
Het is het zelfde als het plaatsen van een dievenklauw... werkt prima tegen de gelegenheidsdief, maar als je binnen wilt komen zijn er zoveel andere mogelijkheden.

Mac Filters zou ik dus gewoon toepassen, maar niet vertrouwen als 100% beveiliging tegen "inbrekers"
 
xahmol

xahmol

Forum Gebruiker
Berichten
6.626
Internet
  1. Ziggo
Digitale TV
  1. Ziggo
AC zei:
Mac Filtering heeft wel zin, maar niet tegen gerichte pogingen om de boel te ondermijnen. Ik weet 100% zeker dat mijn buurman niet weet hoe hij dit moet organiseren en daarmee kan hij onmogelijk door deze filters heen komen.
Klik om te vergroten...

Je geeft geen enkel argument waarom het wel zin heeft.

MAC filtering is zinloos omdat het geen enkele beveiliging extra geeft tov WPA2 met wachtwoord. Een buurman die niet langs MAC filtering kan komen, komt zeker niet langs WPA2 en een wachtwoord. Tenzij hij het wachtwoord weet uiteraard, maar dan is het veel beter het wachtwoord te veranderen.
Andersom: voor iemand waarvoor WPA2 plus wachtwoord geen probleem is, biedt MAC filtering geen enkele bescherming of zelfs maar vertraging.

En het is ook zeker niet zo dat een echte hacker aan jouw deur voorbij gaat als je naast WPA2 wel MAC filtering aan hebt staan. Dat is nml a) niet van buitenaf zichtbaar, je merkt het pas als je al aan het hacken op het netwerk bent b) voor een hacker dus geen enkele belemmering.
Dus het argument 'dan pakken ze de buurman waar het niet aanstaat' gaat ook niet op.

Analogie met een dievenklauw gaat niet op: dat verhoogd de effectiviteit van andere maatregelen. MAC filtering voegt niets toe aan WPA2 met wachtwoord.
De volgende analogie is beter: als je buurman een reserve sleutel van je heeft maar je niet meer wilt dat hij er in kan plaats je een dievenklauw in plaats van de sloten te vervangen.

Aan de andere kant kan MAC filtering wel kwaad. Het kost nml tijd om in te stellen en verlaagt je eigen gebruiksgemak.

Genoeg redenen dus om het niet te doen, geen enkele om het wel te doen anders dan een hardnekkig maar misplaatst buikgevoel dat je 'iets extra's' hebt gedaan.
 
Laatst bewerkt door een moderator:
T

ton250

Forum Gebruiker
Berichten
298
xahmol zei:
Je geeft geen enkel argument waarom het wel zin heeft.

MAC filtering is zinloos omdat het geen enkele beveiliging extra geeft tov WPA2 met wachtwoord. Een buurman die niet langs MAC filtering kan komen, komt zeker niet langs WPA2 en een wachtwoord. Tenzij hij het wachtwoord weet uiteraard, maar dan is het veel beter het wachtwoord te veranderen.
Andersom: voor iemand waarvoor WPA2 plus wachtwoord geen probleem is, biedt MAC filtering geen enkele bescherming of zelfs maar vertraging.

En het is ook zeker niet zo dat een echte hacker aan jouw deur voorbij gaat als je naast WPA2 wel MAC filtering aan hebt staan. Dat is nml a) niet van buitenaf zichtbaar, je merkt het pas als je al aan het hacken op het netwerk bent b) voor een hacker dus geen enkele belemmering.
Dus het argument 'dan pakken ze de buurman waar het niet aanstaat' gaat ook niet op.

Analogie met een dievenklauw gaat niet op: dat verhoogd de effectiviteit van andere maatregelen. MAC filtering voegt niets toe aan WPA2 met wachtwoord.
De volgende analogie is beter: als je buurman een reserve sleutel van je heeft maar je niet meer wilt dat hij er in kan plaats je een dievenklauw in plaats van de sloten te vervangen.

Aan de andere kant kan MAC filtering wel kwaad. Het kost nml tijd om in te stellen en verlaagt je eigen gebruiksgemak.

Genoeg redenen dus om het niet te doen, geen enkele om het wel te doen anders dan een hardnekkig maar misplaatst buikgevoel dat je 'iets extra's' hebt gedaan.
Klik om te vergroten...
Mac filtering heeft wel degelijk zin als toevoeging. Het is net als met je huis, iedere extra beveiliging maakt het moeilijker voor de gelegenheidsinbreker. De professional komt altijd wel binnen, maar ook hem kost het meer tijd.
Dat je op apparaten het mac adres zelf kan kiezen doet hier niets aan af; tenslotte kan je ook wachtwoorden en sleutels zelf kiezen.
Dus gewoon ook mac filtering toepassen.
 
Status
Niet open voor verdere reacties.

Vergelijkbare onderwerpen

I
Wijziging IP adres
2
Reacties
10
Weergaven
1K
Briolet
Briolet
Bovenaan