<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    Heb ik geen last van dat mac adressen wijzigen op smartphones,  ik
    heb het nog niet gemerkt.  Ik zou het trouwens erg vreemd vinden als
    devices zomaar van mac wisselen. <br>
    Mijn dhcp server staat op een linux doos. Alle dhcp clients krijgen
    mij bij een vaste lease, wanneer een device een gewone lease krijgt
    gaat er op mijn nagios server een alarm af.<br>
    Omdat mij default gw ook op die doos staat, heb ik  snort
    geinstalleerd, die alle inkomend/uitgaand monitort, ook weer
    gekoppeld aan Nagios.<br>
    Ik kwam er ook achter dat zelfs mijn printer stond te praten met
    HP!, we werden zelfs gebeld dat onze toner op was en dat we orginele
    toners moesten gebruiken!  Toen was de maat vol, alleen
    geautoriseerde interne ip's mogen naar buiten nu via iptables.<br>
    <br>
    Een andere leuke tool <b> </b>is Security Onion, dit is een IDS, 
    te installeren als VM, maar dan moet de  VM gehost zijn op de host
    die default gw is en de de host moet ingesteld als een hub.  Op die
    manier kun je al het verkeer afluisteren, (span verkeer Cisco) 
    <a class="moz-txt-link-freetext" href="https://www.securityonion.net/">https://www.securityonion.net/</a><br>
    <br>
    Nico<br>
    <br>
    <div class="moz-cite-prefix"><a class="moz-txt-link-abbreviated" href="mailto:trialero@gmx.com">trialero@gmx.com</a> wrote:<br>
    </div>
    <blockquote type="cite" cite="mid:p0xls6.oz2cxl.1hgf04z-qmf@gmx.com">
      <pre wrap="">Netwerk detective spelen is inderdaad leuk en ook nuttig -- je weet nooit wie of wat er allemaal binnen je digitale muren speelt. In de praktijk is het alleen moeilijk de juiste dosis wantrouwen van een OD paranoia te onderscheiden.

'smart' devices zijn een PITA en dringen steeds makkelijker je huis binnen. Als er smart voor staat kan je er van opaan dat ze op de één of andere manier persoonsgegevens van je verzamelen.

Hier thuis zijn met name de smart-phones mijn aandachtspunt. Die krengen gebruiken steeds andere MAC adressen. Van iOS is dat bekend, maar een HTC bljjkt dat ook te doen.

Ik had mijn router ingesteld met een whitelist MAC adressen die een eigen IP op het thuisnetwerk krijgen. Levert bij die smartphone pubers dus voortdurend geklaag dat er geen wi-fi is. Toch maar weeer het netwerk open gezet voor alle apparaten die het wachtwoord kennen... 

Na een dag of twee staan er dus een hele reut gebruikte MAC adressen in de lijst van devices die via de wi-fi op het netwefk zijn geweest. Is alleen niet of nauweljjks na te gaan of daar niet een apparaat van een niet-huisgenokt tussen zit...

Geen ncap, geen Nest of Toon, maar wel mega iritant en niet beheersbaar... Voor mij in ieder geval zo min mogelijk 'smart' apparaten.

Grtz

//meine 

Den Tirsdag den 7. november 2017 skrev Daniel C. von Asmuth:
</pre>
      <blockquote type="cite">
        <pre wrap="">Aldus schreef paai op Tue, Nov 07, 2017 at 09:06:18AM +0100:
</pre>
        <blockquote type="cite">
          <pre wrap="">Hoi,

ik zat vanochtend met nmap te spelen en kwam een onbekend IP nummer op mijn
netwerk tegen. Hij had alleen port 80 open, en daar zat niks achter. De
fabrikant was Robert Bosch GmbH.

Nu heb ik wel een Nefit thermostaat die via een appje bediend moet worden en
Nefit blijkt een Bosch dochter te zijn. Maar bij een volle scan kwamen er
vooral suggesties voor een media device uit rollen.

Is dit volgens jullie in tegenspraak met de thermostaat-functie?

# nmap -sT -O 192.168.178.150

Starting Nmap 7.60 ( <a class="moz-txt-link-freetext" href="https://nmap.org">https://nmap.org</a> ) at 2017-11-07 08:52 CET
Nmap scan report for 192.168.178.150
Host is up (0.0069s latency).
Not shown: 999 closed ports
</pre>
        </blockquote>
        <pre wrap="">
Voor de paranoide medemens: u hebt nog 64536 TCP poorten die u nog kunt
scannen. Als u een laptop via een cross-cable verbindt met het apparaat, 
dan weet u zeker welk apparaat daar getest is (er mochten eens twee
op hetzelfde IP-adres wonen). 

</pre>
        <blockquote type="cite">
          <pre wrap="">PORT   STATE SERVICE
80/tcp open  http
</pre>
        </blockquote>
        <pre wrap="">
Dan zou je verwachten dat je met telnet naar die poort kunt 
connecten en een eenvoudige 
GET / HTTP/1.1
kunt intypen.

</pre>
        <blockquote type="cite">
          <pre wrap="">MAC Address: 00:60:34:0B:2B:11 (Robert Bosch Gmbh)
Device type: media device|specialized|general purpose|webcam
Running (JUST GUESSING): AudioControl embedded (90%), Fatek embedded (89%),
Luminary Micro embedded (89%), Philips embedded (85%), lwIP 1.4.X (85%),
Denver Electronics embedded (85%), NodeMCU embedded (85%)
OS CPE: cpe:/h:audiocontrol:d3400 cpe:/h:fatek:fbs-cbeh
cpe:/h:philips:hue_bridge cpe:/a:lwip_project:lwip
cpe:/h:denver_electronics:ac-5000w cpe:/o:nodemcu:nodemcu
cpe:/a:lwip_project:lwip:1.4
Aggressive OS guesses: AudioControl D3400 network amplifier (90%), Fatek
FBs-CBEH PLC Ethernet communication board (89%), Luminary Micro ARM
Evaluation Kit (89%), Philips Hue Bridge (lwIP stack) (85%), Denver
Electronics AC-5000W MK2 camera (85%), NodeMCU firmware (lwIP stack) (85%),
Philips Hue Bridge (lwIP stack v1.4.0) (85%)
</pre>
        </blockquote>
        <pre wrap="">
Dit klinkt naar LED-verlichting uit een fabriek ten noorden van Waalre. 
Als u het apparaat openschroeft weet u meer.

</pre>
        <blockquote type="cite">
          <pre wrap="">No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at
<a class="moz-txt-link-freetext" href="https://nmap.org/submit/">https://nmap.org/submit/</a> .
Nmap done: 1 IP address (1 host up) scanned in 22.28 seconds

</pre>
        </blockquote>
        <pre wrap="">
Suc6,


Daniel 

-- 
        
                Geeks of a feather cruft together
                


</pre>
      </blockquote>
      <pre wrap="">
</pre>
    </blockquote>
    <br>
    <pre class="moz-signature" cols="72">-- 
0623391101</pre>
  </body>
</html>