Fast Roaming via IAPP: R0KH unreachable

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Fast Roaming via IAPP: R0KH unreachable

Beitrag von alf29 »

Moin,
als Experte,
Äh, was 8-)
was ist da Deine Einschätzung zur WFA und ob in Abhängigkeit der Nutzung (PMF erforderlich oder Optional) in den Frames auch "PSK SHA256" angeboten werden soll?
Von solchen Sachen, daß bei WPA(2)-PSK die AKM 00:0F:AC-2 bzw. 00:0F:AC-5 mit PMF optional/mandatory verknüpft werden soll, habe ich gehört, aber so lange es nicht aus der WFA-Ecke als explizite Forderung kommt, werde ich das nicht einbauen. Zum einen sieht man ja hier in diesem Thread, was so passieren kann, wenn solche Einschränkungen nachträglich gemacht werden, zum anderen ist man ja frei, sich das Gerät so zu konfigurieren, wenn man denn möchte.

Ob SHA256 statt SHA1 in der Schlüsselableitung wirklich einen so großartigen Sicherheitsgewinn bringt, halte ich auch für fragwürdig. Zum einen wird in der Ableitung des PMK aus der Passphrase weiterhin HMAC-SHA1 benutzt, zum anderen sitzt die größere Schwachstelle meist vor dem Rechner - bei der Wahl der Passphrase ;-)
Unterstützt das LCOS auch die spefizischen AKM Level 8 und 9 sowie 11 bis 13, um mit 9 und 13 auch Fast BSS Transition (FT nach 802.11r) mit
1. WPA3 SAE SHA256 und
2. WPA3-Enterprise SHA384 und der Suite B (192-Bit)
SAE-FT ist im LCOS drin und man kann es einschalten, indem man eben WPA3-PSK und Fast-Roaming konfiguriert. Wie gut das funktioniert, mußt Du selber sehen, es gibt aktuell noch keine Tests der WFA dafür, und alles, für das die WFA keine Zertifizierungen anbietet, ist nach meiner Erfahrung Glückssache.

Für die SuiteB-AKMs gilt bis auf 00:0F:AC-12 im Prinzip das gleiche. Für 00:0F:AC-11 wird wohl auch nichts mehr von der WFA kommen,
für SuiteB-384 mit FT vielleicht irgendwann schon. Bedenke bitte, daß bei SuiteB die AKM das kleinste Problem ist, Du mußt Server und Clients auch mit passenden Zertifikaten ausstatten, das TLS auf die erlaubten Cipher-Suiten beschränken, und wenn man die Dokumente mal genau liest, darf so ein SuiteB-Betrieb eigentlich auch nicht parallel zu anderen Sachen auf dem gleichen physischen Gerät gemacht werden - also nicht einfach eine weitere SSID aufspannen und in ein anderes VLAN leiten...
Und sollte alles (an AKMs) und den oben genannten Dingen sowohl im 2.4 GHZ Band und 5 GHz Band deckungsgleich angeboten werden? Oder gibt es dabei Unterschiede oder gar Restriktionen?
Wenn Du Fast Roaming zwischen 2,4 und 5 GHz haben willst, müssen die RSNEs identisch sein. Was je nachdem dann nicht geht. Dieser SuiteB-192-Betrieb verlangt z.B. auch den Einsatz von GCMP256 statt des "klassischen" CCMP128 als Bulk-Cipher. Das können die ganzen Wave1-Chips in den LANCOM-APs nicht. Womit sich die verrückte Situation ergibt, daß SuiteB z.B. auf einem LN-830 auf den eigentlich älteren 2,4GHz-WLAN geht, auf dem 5er aber nicht.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten