Netwerk lekkage? (WiFi)

zaterdag 17 december 2011 20:59

Acties:

0 Henk 'm!

Topicstarter

Dames, heren...

Het volgende:
Ik heb een netwerk en dat werkt uitstekend

)
Ik wil echter een machine plaatsen waar geen bekabeling naar toe getrokken kan worden (zonder al te veel hak en breek werk)
Ik heb er dus een accesspoint (Sitecom WL-331) aan mijn bedraade netwerk gehangen en een (usb) wifi dongle (Sitecom WL-356) in de PC.

Ondanks dat dit mijn eerste draadloze netwerkje is, heb ik volgens mij alles keurig dichtgetimmerd (voorzover dat kan, het AP heeft bijvoorbeeld geen MAC-address filter), AES aan, WPA2 etc.

Het werkt prima.
Alleen maak ik toch enige zorgen over de veiligheid.
Als ik op mijn Mac het programma 'KisMAC' draai om netwerken te scannen, dan zie ik (uiteraard) mijn netwerk.
Ga ik scannen (de Mac "kent" het draadloze netwerk niet, dus geen verbinding / wachtwoord etc) dan zie ik wel alle mac adressen voorbij komen van mijn "koper" netwerk. Ik kan dus zien dat er diverse apparaten in mijn netwerk hangen inclusief fabrikant.

00:04:76:8C:xx:yy 3Com Corporation
00:26:18:03:xx:yy ASUSTek COMPUTER INC.
00:40:8C:3C:xx:yy AXIS COMMUNICATIONS
00:1E:8F:38:xx:yy CANON INC.
00:23:76:24:xx:yy HTC Corporation (da’s aardig, ik heb géén HTC apparatuur in huis!)

Etc. etc. Ik zie géén IP adressen, maar ik zie wel dat er een hoop verkeer heen en weer gaat.

Is dit normaal of heb ik gewoon nog ergens een lekkage zitten?

zondag 18 december 2011 01:03

Acties:

0 Henk 'm!

Thoughtless

Ik heb het even voor je bekeken dus KisMAC gedraaid en de kaart in passive mode gezet en mijn thuis netwerk uit de lijst gegooid.

Mijn Macbook kan dus niet meer mijn thuis netwerk op en ziet dus wel andere clients hier in de omgeving waaronder mijn eigen mobiel, printer etc... dit gaat gewoon standaard door de lucht, dus het mac-adres waaruit ook de leverancier kan worden opgemaakt. Echter het daadwerkelijke verkeer is encrypted, je zult ook zien dat er netjes achter je netwerknaam WPA2 staat.

Niets om voor bang te zijn dus

zondag 18 december 2011 01:08

Acties:

0 Henk 'm!

CyBeR

💩

Dat is normaal, er komt gewoon broadcastverkeer langs.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 18 december 2011 07:54

Acties:

0 Henk 'm!

Hulkiedulkie

CyBeR schreef op zondag 18 december 2011 @ 01:08:
Dat is normaal, er komt gewoon broadcastverkeer langs.

Broadcast verkeer stuurt het accespoint (lijkt me) alleen naar verbonden clients dus ik verwacht dat dit ook geencrypt is. Dus alleen de mac-adressen van draadloze apparatuur zouden gevonden moeten worden met Kismac.

Weet de TS zeker dat deze mac-adressen van hem zijn en niet door anderen de lucht in worden gegooid? Is het cijfer voor cijfer nagekeken of is het gegaan van "oh da's een Asus die zal wel van mij zijn".

Dat er een Canon tussen staat lijkt me ook niet zo vreemd want Canon stop zowat overal Wifi in tegenwoordig.

[ Voor 9% gewijzigd door Hulkiedulkie op 18-12-2011 08:01 ]

zondag 18 december 2011 09:23

Acties:

0 Henk 'm!

Sendy

Als accesspoint als bridge fungeert, dan zie je ook de wired broadcasts. Als je dat niet wil moet je dat uitzetten en een route aanleggen.

zondag 18 december 2011 11:12

Acties:

0 Henk 'm!

Thoughtless

Dit kan dus ook geen bekabeld verkeer zijn , tenzij de beveiliging van zijn AP toch niet op WPA2 AES staat of dat er ergens anders in het netwerk een open AP staat... Dit moeten dan ook wel MAC - adressen van de buren zijn.

zondag 18 december 2011 11:32

Acties:

0 Henk 'm!

Verwijderd

Zijn de apparaten, die je voorbij ziet komen, niet gewoon apparaten waarmee je een ad-hoc verbinding zou kunnen maken over WiFi? Of heeft je Apple helemaal geen WiFi? Indien hij dit wel heeft: zet die eens helemaal uit en scan opnieuw.

zondag 18 december 2011 11:36

Acties:

0 Henk 'm!

borft

@hulkidulkie: weet je wat broadcast betekent? Natuurlijk gaat broadcast verkeer niet alleen naar verbonden clients. Sowieso wordt draadloos verkeer gewoon alle kanten opgestuurd, en dus kan iedereen het opvangen. Uiteraard zijn macadressen niet encrypted, anders krijg je van die mooie kip-ei problemen (hoe weet een machine dat het pakketje voor hem is, als ie het macadres niet kan lezen? en hoe kan ie het pakketje decrypten als het niet voor hem is?)

je WLAN AP fungeert gewoon als een switch tussen je vaste en draadloze netwerk. Hierdoor komen bv alle ARP broadcasts van je bekabelde machines ook op je WLAN netwerk. Lijkt me niet echt iets om je zorgen over te maken. De payload van de pakketjes is nog steeds encrypted.

zondag 18 december 2011 12:04

Acties:

0 Henk 'm!

Hulkiedulkie

borft schreef op zondag 18 december 2011 @ 11:36:
@hulkidulkie: weet je wat broadcast betekent? Natuurlijk gaat broadcast verkeer niet alleen naar verbonden clients. Sowieso wordt draadloos verkeer gewoon alle kanten opgestuurd, en dus kan iedereen het opvangen. Uiteraard zijn macadressen niet encrypted, anders krijg je van die mooie kip-ei problemen (hoe weet een machine dat het pakketje voor hem is, als ie het macadres niet kan lezen? en hoe kan ie het pakketje decrypten als het niet voor hem is?)

je WLAN AP fungeert gewoon als een switch tussen je vaste en draadloze netwerk. Hierdoor komen bv alle ARP broadcasts van je bekabelde machines ook op je WLAN netwerk. Lijkt me niet echt iets om je zorgen over te maken. De payload van de pakketjes is nog steeds encrypted.

Volgen mij klopt het niet wat je hier zegt.

Broadcast-verkeer gaat alleen over 'links' die al gelegd zijn en wordt m.i. wel geencrypt.

Bij Wifi gaat het als volgt (versimpeld)
- AP gooit zijn mac-adres in de lucht
- client vindt AP
- er vindt een uitgebreide handshake plaats
- er is nu een volledig geencrypteerde 'link' gelegd waarover broadcast-verkeer over verstuurd kan worden om de structuur van het netwerk bloot te leggen.

Wat jij zegt is dat het accespoint los hiervan ook nog eens broadcast-verkeer zomaar ongeencrypteerd de lucht in stuurt zonder dat er een link met een apparaat is. Volgens mij is dat niet zo.

Vergelijk het met een switch: als er geen kabel op een poort geen zit aangesloten wordt er ook geen verkeer naar die poort gestuurd. Pas als de kabel erin zit en de handshake voltooid is en de link gelegd is gaat er werkelijk verkeer over.

Om het wat technischer te maken: broadcast-verkeer zit in laag 2 van het OSI-model. Het kan alleen vervoerd worden als er op laag 1 al een verbinding tot stand gebracht is.

zondag 18 december 2011 19:18

Acties:

0 Henk 'm!

DataGhost

iPL dev

Hulkiedulkie schreef op zondag 18 december 2011 @ 12:04:
Vergelijk het met een switch: [...]

Om het wat technischer te maken: broadcast-verkeer zit in laag 2 van het OSI-model. Het kan alleen vervoerd worden als er op laag 1 al een verbinding tot stand gebracht is.

De ether is een hub en zeker geen peer-to-peer-verbinding, je kan er leuk laagjes tegenaan gooien maar dat doet niet af aan de rest van het probleem. Daarnaast heb je, zoals gezegd, de MAC-adressen onversleuteld nodig om te kunnen zien of een packet uberhaupt wel voor jouw machine bestemd is. Combineer dit en je ziet direct dat het simpeler is per broadcast gewoon 1 packet de lucht in slingeren in plaats van 1 per client. Er is verder niet gezegd dat het verkeer onversleuteld is.

Voor WPA(2) is het wel een klein beetje anders, aangezien elke client volgens mij een andere sleutel gebruikt. De eis wat betreft het MAC-adres blijft wel staan dus alsnog zal elk broadcast-packet de lucht in geslingerd worden als er tenminste 1 client verbonden is.

[ Voor 20% gewijzigd door DataGhost op 18-12-2011 19:20 ]

zondag 18 december 2011 20:26

Acties:

0 Henk 'm!

CyBeR

💩

Hulkiedulkie schreef op zondag 18 december 2011 @ 12:04:
[...]
Om het wat technischer te maken: broadcast-verkeer zit in laag 2 van het OSI-model. Het kan alleen vervoerd worden als er op laag 1 al een verbinding tot stand gebracht is.

Leuk dat je weet wat een OSI-model is, maar de L2 headers van 802.11 zijn unencrypted. Dat moet ook, want anders is 't niet te doen om een frame fatsoenlijk uit de lucht te pikken. De payload van een 802.11 frame is encrypted.

Hierboven: daarom is er een group key voor broad- en multicastverkeer

[ Voor 8% gewijzigd door CyBeR op 18-12-2011 20:28 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 18 december 2011 20:30

Acties:

0 Henk 'm!

borft

dat dus!

bij een ethernet switch heb je een fysieke link (bij draadloos dus niet, want er is namelijk geen draad; dow!). Je switch weet dus welke max adressen er achter een port hangen. Als dat niet meer in memory past, valt een switch terug naar hub mode. Een WLAN AP kan je eigenlijk zien als een switch met 1 port, dus eigenlijk een HUB, die is gebridged naar je ethernet switch.

Bovendien heeft broadcast verkeer (in de vorm van ARP broadcasts) geen bestemming. Dit is niet hetzelfde als bv broadcasts naar je subnet, in de IP laag, die worden wel gelimiteerd tot hosts in je eigen netwerk op ip niveau.

[ Voor 31% gewijzigd door borft op 18-12-2011 20:34 ]

zondag 18 december 2011 20:34

Acties:

0 Henk 'm!

CyBeR

💩

Ah, wel een AP heeft ook zo'n tabel dus die kan dezelfde forwardingbeslissingen maken, maar het geval wil dat op een medium dat in essentie gebaseerd is op ethernet, broadcasts overal naartoe gestuurd moeten worden en bij gebrek aan beter idee (IGMP snooping), multicast ook.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 19 december 2011 01:51

Acties:

0 Henk 'm!

LooneyTunes

Topicstarter

Hulkiedulkie schreef op zondag 18 december 2011 @ 07:54:
Weet de TS zeker dat deze mac-adressen van hem zijn en niet door anderen de lucht in worden gegooid? Is het cijfer voor cijfer nagekeken of is het gegaan van "oh da's een Asus die zal wel van mij zijn".

De lijst is erg verkort

Maar ik zie inderdaad mijn 4 NAS schijven, mijn VMware server(en ook de 'virtuele mac adressen' van de virtuele machines) mijn Netware bak, de overige 2 printers (HP, Brother) en de 3 switches (Linksys x 2 en HP).

Dus 100% mijn netwerk

(behalve die HTC dan)

Dat er een Canon tussen staat lijkt me ook niet zo vreemd want Canon stop zowat overal Wifi in tegenwoordig.

De Canon is inderdaad verbonden met mijn koperen netwerk. De Canon heeft geen Wifi. (Canon MF8050 multifunctional) en het mac adress wat ik in Kismac zie, is het macadres van de ethernet interface.

Maar ik had dus eigenlijk gehoopt dat dit soort verkeer in ieder geval met encryptie de ether in gestuurd zou worden. Als een soort van VPN dus.
Dat je dit verkeer zou kunnen zien op de verbonden (dus encrypted) clients lijkt me logisch. De client is immers onderdeel van het netwerk.

[ Voor 32% gewijzigd door LooneyTunes op 19-12-2011 02:21 . Reden: typo's ]

zondag 25 december 2011 00:00

Acties:

0 Henk 'm!

LooneyTunes

Topicstarter

Opgelost!

Tenminste, gedeeltelijk

De "lekkage" is nu in ieder geval beperkt.

Het werkt nu als volgt:

Internet --> router1 --> intern netwerk --> router2 --> accesspoint --> wificlient

De "wifi-kant" heeft een eigen IP range en ik zie alleen nog maar de accesspoint, het mac adress van router2, het macaddress van het accesspoint en de aangesloten wifi-usb stick.
Router 2 is dus met de WAN-poort aangesloten op het interne netwerk.

[ Voor 0% gewijzigd door LooneyTunes op 25-12-2011 13:26 . Reden: typo's ]

Onderwerpen