DHCP Server AP dwingt niet af

Mijn probleem is als volgt.
Ik heb een Linksys WRT160N router die als AP fungeert (de modem van de provider handelt het internetwerk af). Die twee zijn op standaard manier verbonden.
De Linksys levert het wireless via B/G/N met WPA2 PSK TKIP/AES.
Waar het om gaat is het toewijzen van IP adressen door de AP aan pakweg 10 clients binnen het thuisnetwerk. Vanwege het delen en synchroniseren van bestanden en de bijbehorende rechten voor bepaalde computers, moeten de clients een vast IP address hebben. Eerst deed ik dat door DHCP auto toewijzing op de AP uit te zetten en de clients handmatig een adres toe te wijzen. Veel makkelijker (lees: centraler beheer) is natuurlijk om dit gewoon vanuit de AP te doen m.b.v. de MAC adressen van de clients.
Echter ben ik even aan het 'hacken' geslagen en nu kan ik nog steeds handmatig op een client kiezen voor een gereserveerd IP adres binnen de range van de DHCP. Dat wordt dus lachen als de gereserveerde client online wil komen en dat adres is al bezet door een client die dat adres ook heeft omdat die op 'handmatig adres toekennen' staat.
Waarom ik hier niet vrolijk van wordt? Omdat mensen zo hun adres kunnen wijzigen naar een adres wat bepaalde rechten geeft om toegang te krijgen tot bepaalde schijven op een computer binnen het netwerk. Die computer is beheerd via een firewall, waarbij 'bestands- en printerdeling' alleen is toegestaan aan bepaalde IP adressen.

Iemand die weet wat ik verkeerd doe of probeer ik iets wat niet kan werkt. Ik weet dat in theorie door MAC spoofing hetzelfde 'probleem' kan onstaan. Maar wat ik vreemd vind is dat ik een adres handmatig kan toewijzen aan een client die al gereserveerd is, maar nog niet toegewezen (omdat die bijv. niet online binnen het netwerk is) en dit alles binnen de range van de DHCP server. Komt u maar

@Everlast2002 Ik weet wat jij bedoelt en in feite doe ik dat al, je moet namelijk een user name en password invoeren om toegang te krijgen tot de PC waarmee gesynct moet worden. (helaas, die verdomde XP password bug zorgt ervoor dat je te makkelijk toegang krijgt, maargoed -> snel upgraden).
Ik had gehoopt door het toevoegen van de MAC-adressen gekoppeld aan specifieke IP-adressen zou zorgen voor deze bescherming.
Helaas moet je om dit te voorkomen (een soort van ARP spoofing), bijna enterprise routers hebben om je hier tegen te beschermen. De 'simpele' consumentenAP'tjes hebben dit soort functies niet. Misschien dat ik nog eens moet kijken naar Open WRT of DD-WRT, of die beschermen tegen dit soort 'features'. Want 'Is it a bug of a feature', nou in mijn ogen een fikse security bug als clients zelf een IP adres kunnen kiezen als ik een DHCP server heb draaien op mijn AP.
Als er mensen zijn die zeggen, ook Open WRT of DD-WRT kan hier niet tegen beschermen, hoor ik graag andere opties. Sta ik altijd open voor. Wel interessant om te weten dat je dit dus in elk netwerk kunt flikken waar een DHCP server aanstaat en jij wat over de toekenning weet van welke IP adressen aan wat gegeven worden.

[ Voor 15% gewijzigd door William_H op 19-12-2014 15:46 ]

@ Brahiewahiewa 'Security by design', daar zou eens wat meer over nagedacht moeten worden. Helaas is dat nog steeds niet altijd het uitgangspunt.
Overigens zou ik voor zoiets geen nieuwe AP heoven te kopen, want volgens mij hebben de open source router firmware ook die mogelijkheid. Dan hoef ik 'simpelweg' de router te flashen.
Maar zoals EverLast2002 aangeeft is dit niet waterdicht.

@ EverLast2002 De computer waarmee gesynchroniseerd wordt is een XP SP3 (ja, ik weet het, staat op de nominatie om geupgrade te worden naar W8). De firewall is de ingebouwde Windows firewall, waarbij ik op poortniveau de IP-adressen heb toegevoegd aan de 'bestands- en printerdelen' firewall regel, en het bereik gewijzigd heb van 'Alleen dit netwerk (subnet) naar een 'Aangepaste lijst'.
Poorten zijn; TCP: 139 & 445 en UDP: 137 & 138
Dit werkt goed, want apparaten kunnen nu geen toegang krijgen tot de PC die oa als synchronisatiepunt werkt. Ik wil alleen dat de apparaten waarvan ik ze toestemming geef, toegang hebben tot die PC.
Daarna dacht ik, laat ik eens kijken wat er gebeurt als ik een apparaat wat geen toestemming heeft, een IP-adres te geven wat wel toestemming heeft. En natuurlijk kreeg die wel toestemming. Toen besloot ik om de DHCP-server van het AP weer te activeren en adressen toe te kennen aan alle apparaten middels MAC.
Maar blijkbaar overrulen de handmatige settings op een apparaat de DHCP server van het AP, dus daar wordt ik ff niet vrolijk van.

@revertive Dat snap ik. Maar het punt, zoals in de titel staat, wil ik het afdwingen. Nu betekend het dus dat mensen zelf op hun apparaat (mobiel of PC) handmatig een adres kunnen invoeren en toegang kunnen krijgen. Ik sta natuurlijk niet elk moment van de dag bij iedereen mee te kijken op hun scherm. Als er iemand 'per ongeluk' wat verkeerd doet, kan dat betekenen dat het netwerk op z'n gat gaat. Daarom wil ik afdwingen, maar het lijkt erop dat een DHCP server op een AP dit dus niet kan en dat vind ik een beetje vreemd.

@ plizz Kon dat maar, het gaat hier over een consumentenrouter, WRT160N. Die ondersteunen dus geen commandline, alleen een web-GUI. Op zich kunnen die dingen veel, maar dit dus ff niet.

@ Brahiewahiewa Nee, ik wil geen Radius server en nee ik heb geen "server" die XP SP3 draait. Is gewoon een PC die als synchronisatiepunt fungeert, in plaats van een NAS in een router.
Overigens vind ik de website tip dan wel weer fantastisch hier, maar daar heb ik zelf nu niet zoveel aan.

Van de firmware van de Cisco Linksys ben ik al een tijdje niet tevreden.
Iemand die weet of OpenWRT of DD-WRT beter is in het oplossen van mijn probleem?

[ Voor 12% gewijzigd door William_H op 22-12-2014 04:24 ]

@ CyBeR Ja, ik dacht, ff uittesten of het ook echt werkt. En dan kom je er dus snel genoeg achter dat het dus zo niet werkt
@ rjong5 Dat is een oplossing. Helaas, zoals ik hierboven al aangaf hebben we hier te maken met consumentenrouters.
@ EverLast2002 Heb gelukkig de V1, dat had ik al ff opgezocht. Klopt inderdaad dat de v2 revisie bij DD-WRT niet ondersteunt wordt.
@ Equator Dank voor de heldere verwoording. Ik was hier al bang voor. Ik dacht, misschien kan het, maar dat wordt dus inderdaad 802.1x beveiliging als ik de netwerkbeveiliging dusdanig wil aanscherpen.
Dat is inderdaad zoals ik de netwerklay-out zou willen.

Andere hardware is op dit moment even niet een optie. Dus ik ga even kijken wat OpenWRT en DD-WRT mij kunnen brengen op firmware gebied voor deze router en dit netwerk.

@ EverLast2002 Bedankt voor de tip. Helaas werkt pfSense alleen op servers. Gaan we toch weer naar het professionele circuit. Maar misschien dat iemand anders wat aan deze tip heeft, want pfSense ziet er wel goed uit, en Open Source

@ Frogmen Nee, geen studentenhuis. Wist je dat zelfs bibliotheken met pro-sumer router oplossingen werken? Maar in dit geval gaat het gewoon om een gezinssituatie met gasten. En omdat er al genoeg draadloze netwerken in de buurt actief zijn, dacht ik het binnen 1 netwerk op te lossen. Dat heeft ook nog steeds de voorkeur. Aan "wen er maar aan" opmerkingen heb ik altijd een beetje een broertje dood, ook als een dokter zoiets zegt. Dan had ik net zo goed niet hoeven komen. Gaat hier niet alleen om vertrouwen, maar ook om beveiliging. Mobiele apparaten komen op openbare plekken, stationaire pc's niet. Maar blijkbaar lijkt het erop dat dit vooralsnog te ingewikkeld is voor een consumenten routertje. Blijkbaar wil ik weer teveel....;)