Enkele vragen over MAC-adressen

[TomMe]

Ik vind niet meteen een antwoord online..

Stel ik heb een Fritzbox router die verbonden is met het internet. Op deze Fritzbox is via een ethernetkabel een spelcomputer aangesloten. Op de Fritzbox is daarnaast ook nog een 2e router (met kabel) aangesloten, "Router 2". Op Router 2 is een computer (met kabel) aangesloten.

Al deze apparaten hebben vermoedelijk een MAC-adres.. Mijn vraag is nu, kan de spelcomputer het MAC-adres van de computer zien of omgekeerd? Of algemener gezegd, kan een apparaat het MAC-adres van een ander apparaat zien dat meer dan 1 stap van zichzelf in het netwerk verwijderd is, of van een apparaat dat op een andere router in hetzelfde netwerk is aangesloten? Zo ja, hoe kan ik dit voorkomen?

Bijkomende vragen.. Kunnen deze apparaten via wifi elkaars MAC-adres zien? En kan men (via kabel) gewoon en zonder problemen inloggen in de Fritzbox vanaf de computer via een browser?

[CCatalyst]

Mijn vraag is nu, kan de spelcomputer het MAC-adres van de computer zien of omgekeerd?

Nee, de aanwezigheid van router 2 verhindert dat. Als je router 2 vervangt door een switch, dan zien ze het wel.

Of algemener gezegd, kan een apparaat het MAC-adres van een ander apparaat zien dat meer dan 1 stap van zichzelf in het netwerk verwijderd is

Hangt af van wat je bedoelt met "stap". Zolang het switches zijn wel. Vanaf er een router tussen zit niet meer.

Nu let op, de meeste consumentenrouters hebben ook switchfunctionaliteit, alles dat aan de "LAN"-zijde van de router verbonden is wordt geswitcht en kan elkaars MAC adres zien, maar eenmaal men door de "WAN"-poort van de router moet gaan om te communiceren met een toestel (bv vanaf router 2 via de WAN-poort verbonden met de fritzbox om de spelcomputer te kunnen bereiken), dan niet meer.

Bijkomende vragen.. Kunnen deze apparaten via wifi elkaars MAC-adres zien?

Als ze verbonden zijn op hetzelfde WiFi netwerk wel natuurlijk. Anders hetzelfde als hierboven, als het 2 verschillende netwerken zijn met op de achtergrond een router ertussen, dan niet.

Alles dat met elkaar verbonden is via switches (1 of meer maakt niet uit) beschouwen we als een netwerk, en die kunnen elkaars MAC-adressen zien, ze gebruiken die ook om rechtstreeks te communiceren met elkaar. Routers doen de verbindingen tussen netwerken, en apparaten die zich aan weerszijden van de router bevinden kunnen elkaars MAC adres niet zien. Communicatie gebeurt dan per IP adres.

Als je vraag eigenlijk is of ze kunnen "sniffen" wat het MAC adres is door gewoon "af te luisteren" op de WiFi signalen, ja dat kan maar in de praktijk gebeurt dat niet tenzij men speciaal software daarvoor installeert + de WiFi-kaart in een speciale modus zet daarvoor (niet altijd mogelijk).

En kan men (via kabel) gewoon en zonder problemen inloggen in de Fritzbox vanaf de computer via een browser?

Ja, als je het IP adres van de Fritzbox kent en de firewall van de Fritzbox niet ingesteld is om het inloggen vanaf een ander netwerk te verbieden.

[TomMe]

Bedankt voor de respons. Ik moet bovenstaande info nog wat verwerken, maar alvast nog enkele vragen.

Wanneer men een router in "bridge modus" zet, maakt men hier dan in feite een switch van?

WAN vs LAN moet ik nog even verder nakijken, maar wanneer men 2 routers met elkaar verbindt, is dit dan WAN-WAN, of LAN-WAN? Via WAN betreft het een ander protocol dat het MAC-adres niet meestuurt?
Indien het LAN-WAN is kan ik mij wel inbeelden dat het MAC-adres van (in bovenstaande geval) Router 2 ook gezien kan worden door de spelcomputer of eender welk toestel dat op de andere LAN-poorten van de Fritzbox worden aangesloten.

Btw, met "stap" bedoelde ik elke connectie van toestel A naar toestel B. Bijvoorbeeld:
Fritzbox --stap-- Router 2
Router 2 --stap-- computer
Maar het is blijkbaar niet zo simpel als gehoopt..

[CCatalyst]

Wanneer men een router in "bridge modus" zet, maakt men hier dan in feite een switch van?

Ja, want dat is wat de hardwarechip in een switch doet: bridging tussen verschillende poorten. Nu, een router heeft een ander soort chip die dit niet doet, dus in een router is het dan doorgaans de software (firmware) die de bridging doet ipv de chip, we spreken ook wel over een "virtuele switch". In de praktijk is bridging in een router daarom minder performant dan in een echte switch, maar ze doen hetzelfde werk. Er bestaan echter ook routers die naast de router-chip ook nog een switch-chip op het moederbord hebben zodat de software het niet moet doen.

WAN vs LAN moet ik nog even verder nakijken, maar wanneer men 2 routers met elkaar verbindt, is dit dan WAN-WAN, of LAN-WAN?

WAN-LAN. De WAN poort van router 2 gaat in een LAN poort van de Fritzbox. Er zijn wel andere omgevingen waar het WAN-WAN kan zijn en routers meerdere WAN-poorten hebben maar dat is niet het geval voor huis-tuin-keuken.

Via WAN betreft het een ander protocol dat het MAC-adres niet meestuurt?

Het protocol is gewoon IP: Internet Protocol. De benadering gebeurt dan via IP adressen ipv MAC adressen. De inhoud van de pakketten blijft hetzelfde.

Indien het LAN-WAN is kan ik mij wel inbeelden dat het MAC-adres van (in bovenstaande geval) Router 2 ook gezien kan worden door de spelcomputer of eender welk toestel dat op de andere LAN-poorten van de Fritzbox worden aangesloten.

Klopt, dus dat heb je goed begrepen. Hij kan de MAC adressen zien van de fritzbox, de router 2, en van zichzelf. Als er nog andere toestellen aan de LAN poorten (of de WiFi) van de Fritzbox hangen kan hij die MAC adressen ook zien. Maar hij kan niet de MAC adressen van de toestellen zien die aan de LAN poorten van router 2 hangen (en omgekeerd ook niet), tenzij je bridging activeert op router 2.

Btw, met "stap" bedoelde ik elke connectie van toestel A naar toestel B. Bijvoorbeeld:
Fritzbox --stap-- Router 2
Router 2 --stap-- computer
Maar het is blijkbaar niet zo simpel als gehoopt..

Als het dus een switch is (of een bridge) ipv een router zien ze elkaars MAC adres wel.

[ITnetadmin]

Mac adressen bevinden zich op layer 2 van het OSI model.
Die layer moeit zich enkel met de directe point to point links en stuurt de hardware aan.
Elke hop vervangt een toestel in het frame (zo noemt het pakketje in layer 2) de source en destination mac (niet in switchen).

Toestellen die niet in dezelfde lan staan (hetzelfde broadcast domain), hebben mekaars mac niet nodig, en gaan die in normale omstandigheden ook nooit tegenkomen (opgelet: sommige protocols in hogere layers van osi kunnen bv wel dat mac als identifier meegeven, maar dat telt niet op netwerk vlak).

[TomMe]

Excuses voor de late respons..moeilijke tijden.

Ik denk wel dat ik min of meer mee ben.. Enkele bedenkingen hieronder.

1) De WAN-poort vormt dan in feite een bottleneck voor de snelheid tussen beiden LANs en is dus ook van belang.

2) Stel, het volgende. Aan de Fritzbox hangt "Router 2" (via LAN-WAN) en "Computer 1". Aan "Router 2" hangt "Computer 2". Op beide computers draait Windows. Ik veronderstel dat Windows het MAC-adres van de routers kan zien en dit ook doorstuurt naar Microsoft..of ben ik hier verkeerd in (vooral het eerste gegeven)? Als ik de reply van ITnetadmin dan ontcijfer lijkt me dat niet vergezocht..
Stel dan dat "Computer 1" verbonden is met internet via de Fritzbox en stel dat "Computer 2" verbonden is met internet via een andere methode. Beide computers hebben dan een ander IP-adres, maar Microsoft kan dan wel zien dat hetzelfde MAC-adres (van "Router 2") op beide LAN's aanwezig is. De enige manier om zoiets te vermijden en de 2 netwerken te scheiden van elkaar is dan volgens mij er een 3e router tussen steken die werkt als "middle man". Klopt dat zo wat?

edit: Of ook, gewoon elke computer op een aparte router zetten, en dan beide routers verbinden met de Fritzbox via WAN-LAN?

Nuttige info in de replies tot hiertoe in elk geval, bedankt.

[silentkiller]

Kan je ook even toelichten vanwaar je vraag komt of wat je wil bereiken?

Een mac adres is niet echt een groot geheim.
Wat betreft doorsturen naar microsoft: Wil je verhinderen dat microsoft kan zien welke MAC adressen er op je LAN(s) zitten? (zodat ze niet weten dat al je computers op 1 locatie staan??). In dat geval gaan alle computers met hetzelfde IPv4 adres richting microsoft (NAT (achter NAT)) en weten ze het nog steeds

[TomMe]

Kan je ook even toelichten vanwaar je vraag komt of wat je wil bereiken?

Het doel is meer privacy in plaats van minder. Maakt me niet echt uit of het nu Microsoft, Facebook, Apple of Google is.. Maar in het geval van Windows zal dit dus Microsoft zijn. Ik wil de gegevens die ik ongewenst deel tot een minimum beperken en mij ook bewust zijn van wat ik deel. Een MAC-adres is een unieke code waarmee men mensen kan identificeren en overal ter wereld realtime kan volgen (in het geval van smartphones met een wifi-verbinding dan).

Waarom hou ik mij daar mee bezig? Omdat ik recht heb op privacy en niet wil dat iedereen kan meekijken wat ik doe, waar ik ga, welke sites ik bezoek, welke berichten ik lees en stuur, met wie ik contact heb, enzovoorts. Mijn leven is geen open boek. En als mensen zich daar niet tegen verzetten krijgen we situaties zoals momenteel in China.

Het internet is niet meer open zoals vroeger het geval was. Zucht.. Elke stap die je zet wordt opgeslagen en geanalyseerd. Ik vind dat ziekelijk, en het wordt in de toekomst alleen maar erger. Overal drones, camera's, microfoons, 24/7 geolocatie en vingerafdrukken op identiteitskaarten..oh wacht, dat is nu al zo..

Enkele jaren geleden besloot ik om een Microsoft account aan te maken en in te loggen in Windows..ik had mijn wifi aangezet. Ik heb nooit mijn adres opgegeven maar tot mijn grote verbazing zag ik op een keer mijn straatnaam pronken in mijn account. Achteraf heb ik dan besloten dat Microsoft wellicht het adres kende van iemand in de straat en via geolocatie (ongevraagd en zonder toestemming) zag dat mijn modem ook in de buurt was. Ik vind dat creepy en een schending van de privacy.

Wat ik wil bereiken is verschillende delen van mijn thuisnetwerk scheiden en voorkomen dat al mijn toestellen aan elkaar gelinkt worden. En als dat nu al het geval is, ze ontlinken of het op z'n minst verder voorkomen in de toekomst.

Laat de kritiek maar komen..

Een mac adres is niet echt een groot geheim.
Wat betreft doorsturen naar microsoft: Wil je verhinderen dat microsoft kan zien welke MAC adressen er op je LAN(s) zitten? (zodat ze niet weten dat al je computers op 1 locatie staan??). In dat geval gaan alle computers met hetzelfde IPv4 adres richting microsoft (NAT (achter NAT)) en weten ze het nog steeds

Inderdaad (als ik je goed begrijp).. Daarom dat ik ook spreek van verschillende IP-adressen.

[johan.devos]

En denk je nu echt dat men enkel de MAC adressen gebruikt om je te identificeren? Als je maar 1 verbinding hebt naar het internet kan men gemakkelijk, als men wilt, alle toestellen die via deze weg verbonden zijn met het internet aan elkaar linken.

[TomMe]

Daar is de kritiek al..dat was snel.

En denk je nu echt dat men enkel de MAC adressen gebruikt om je te identificeren? Als je maar 1 verbinding hebt naar het internet kan men gemakkelijk, als men wilt, alle toestellen die via deze weg verbonden zijn met het internet aan elkaar linken.

Kun je daar meer in detail over gaan? Eventueel een bron met meer info?

En ja, ik ben er mij van bewust dat men iedereen probeert te identificeren op elke mogelijke manier, kost wat kost.

[johan.devos]

CPU’s, schijven, moederborden,… hebben allemaal unieke identificatienummers, een soort van serienummers. Dit gebruikt MS bijvoorbeeld als licentiesleutel voor je PC.

https://www.download3k.com/articles/Mic ... tion-01381

Maar dit kan men natuurlijk ook gebruiken voor andere toestellen zoals game consoles, Smartphones, IoT devices, netwerkapparaten,…

Als men je kan identificeren op een van deze toestellen zoals op je PC met je Windows online account, en je gaat op het internet dan krijg je van je provider 1 publiek IP adres. Als je nu op een ander toestel tegelijkertijd op het internet gaat, gebruik je op hetzelfde ogenblik hetzelfde publieke IP adres….

En dan is het echt niet moeilijk om dit 2de toestel aan je account te koppelen van je 1ste toestel, zeker voor toestellen van dezelfde fabrikant of toestellen waar dezelfde programma’s op geïnstalleerd zijn zoals Facebook, Netflix, Spotify, Chrome, YouTube, Android,…

Als je privacy wenst moet je gewoon wegblijven van het internet.

[edwin.d]

Zelfs de uitvinder van bet Darknet dacht dat hij onvindbaar was door de vele manieren om je privacy af te schermen die dat net gebruikt.
En toch hebben ze hem gevonden.

Als je nog een beetje privacy wil als je het internet op wil zal,je met een VPN server moeten werken.

Maar zolang je verbinding moet maken met je provider ben je in principe traceerbaar.

Mvv

[TomMe]

CPU’s, schijven, moederborden,… hebben allemaal unieke identificatienummers, een soort van serienummers. Dit gebruikt MS bijvoorbeeld als licentiesleutel voor je PC.

https://www.download3k.com/articles/Mic ... tion-01381

Maar dit kan men natuurlijk ook gebruiken voor andere toestellen zoals game consoles, Smartphones, IoT devices, netwerkapparaten,…

Ik zal de link eens bekijken.

Als men je kan identificeren op een van deze toestellen zoals op je PC met je Windows online account, en je gaat op het internet dan krijg je van je provider 1 publiek IP adres. Als je nu op een ander toestel tegelijkertijd op het internet gaat, gebruik je op hetzelfde ogenblik hetzelfde publieke IP adres….

Als je een VPN, TOR, wifi hotspot of andere manier om te verbinden gebruikt natuurlijk niet. En ik heb ondertussen al geleerd om nooit meer een Windows account te gebruiken.

En dan is het echt niet moeilijk om dit 2de toestel aan je account te koppelen van je 1ste toestel, zeker voor toestellen van dezelfde fabrikant of toestellen waar dezelfde programma’s op geïnstalleerd zijn zoals Facebook, Netflix, Spotify, Chrome, YouTube, Android,…

Inderdaad. Maar als ik mijn toestel "verkoop" heeft men er ook maar het gissen naar. En ik gebruik ook geen Facebook, Netflix, Spotify, Chrome, YouTube en al die brol..en mijn Android toestellen komen niet meer online tot ik een manier vind om ze te ontGooglen enzovoorts. Ook geen nood aan voorlopig..

Als je privacy wenst moet je gewoon wegblijven van het internet.

Triestig toch..niet? Het internet is gemaakt om open te zijn en informatie te delen, of zo was het toch vroeger..maar men heeft er een monster van gemaakt.

Zelfs de uitvinder van bet Darknet dacht dat hij onvindbaar was door de vele manieren om je privacy af te schermen die dat net gebruikt.
En toch hebben ze hem gevonden.

Heb je het over Ross Ulbricht? Ik dacht gehoord te hebben dat hij stomme fouten had gemaakt zoals inloggen in bepaalde accounts etc.. De details ken ik niet meer. Maar als de FBI achter je zit kun je je waarschijnlijk niet verstoppen.. Mijn probleem is eerder mass surveillance.

Als je nog een beetje privacy wil als je het internet op wil zal,je met een VPN server moeten werken.

Akkoord. Of TOR. Nu ja..privacy ≠ anonimity..

Maar zolang je verbinding moet maken met je provider ben je in principe traceerbaar.

Akkoord.

[mailracer]

Ik raad je aan om je te verdiepen in netwerktopologie en je zal meteen snappen dat routers achter elkaar zetten geen effect heeft om je privacy te beschermen. Het internet kent je van je IP-adres dat je provider, niet van je Mac adres.

[TomMe]

Ik raad je aan om je te verdiepen in netwerktopologie en je zal meteen snappen dat routers achter elkaar zetten geen effect heeft om je privacy te beschermen. Het internet kent je van je IP-adres dat je provider, niet van je Mac adres.

Facebook zit nochtans te vissen naar de MAC-adressen van zijn gebruikers. Dus volgens mij klopt het niet wat je zegt.

[devilkin]

Heb je daar iets van foto/... Van?

Wat wel kan is dat een toestel op het internet zit via ipv6, zonder dhcp (dus via SLAAC) en geen privacy extensions gebruikt. Dan kan je aan de hand van het ipv6 adres het mac adres gemakkelijk achterhalen.

[DarkV]

Facebook zit nochtans te vissen naar de MAC-adressen van zijn gebruikers. Dus volgens mij klopt het niet wat je zegt.

Puur op netwerk niveau wordt een MAC adres vervangen wanneer het door een router gaat... tussen jou en Facebook zijn dat er wel enkele dus op die manier weet zelfs je eigen provider je MAC adres van je PC nog niet eens.

Als je natuurlijk een Facebook app op je PC of smartphone zet die het MAC adres kan uitlezen en het doorsturen dan is dit iets anders.

Vanuit een browser kan je echter niet aan je MAC adres (alvast niet via Javascript).

[CyberThijs]

Je kan ook gebruik maken van VLAN's om te verhinderen dat verschillende apparaten die op dezelfde router aangesloten zijn elkaar kunnen zien.

Voor de WiFi moet je eens zoeken op 'client isolation'. Zo kunnen apparaten elkaar niet zien. Je kan dan natuurlijk ook geen gebruik maken van zaken zoals Chromecast/Miracast, een wifi-printer, etc.