Äh, wasals Experte,
Von solchen Sachen, daß bei WPA(2)-PSK die AKM 00:0F:AC-2 bzw. 00:0F:AC-5 mit PMF optional/mandatory verknüpft werden soll, habe ich gehört, aber so lange es nicht aus der WFA-Ecke als explizite Forderung kommt, werde ich das nicht einbauen. Zum einen sieht man ja hier in diesem Thread, was so passieren kann, wenn solche Einschränkungen nachträglich gemacht werden, zum anderen ist man ja frei, sich das Gerät so zu konfigurieren, wenn man denn möchte.was ist da Deine Einschätzung zur WFA und ob in Abhängigkeit der Nutzung (PMF erforderlich oder Optional) in den Frames auch "PSK SHA256" angeboten werden soll?
Ob SHA256 statt SHA1 in der Schlüsselableitung wirklich einen so großartigen Sicherheitsgewinn bringt, halte ich auch für fragwürdig. Zum einen wird in der Ableitung des PMK aus der Passphrase weiterhin HMAC-SHA1 benutzt, zum anderen sitzt die größere Schwachstelle meist vor dem Rechner - bei der Wahl der Passphrase
SAE-FT ist im LCOS drin und man kann es einschalten, indem man eben WPA3-PSK und Fast-Roaming konfiguriert. Wie gut das funktioniert, mußt Du selber sehen, es gibt aktuell noch keine Tests der WFA dafür, und alles, für das die WFA keine Zertifizierungen anbietet, ist nach meiner Erfahrung Glückssache.Unterstützt das LCOS auch die spefizischen AKM Level 8 und 9 sowie 11 bis 13, um mit 9 und 13 auch Fast BSS Transition (FT nach 802.11r) mit
1. WPA3 SAE SHA256 und
2. WPA3-Enterprise SHA384 und der Suite B (192-Bit)
Für die SuiteB-AKMs gilt bis auf 00:0F:AC-12 im Prinzip das gleiche. Für 00:0F:AC-11 wird wohl auch nichts mehr von der WFA kommen,
für SuiteB-384 mit FT vielleicht irgendwann schon. Bedenke bitte, daß bei SuiteB die AKM das kleinste Problem ist, Du mußt Server und Clients auch mit passenden Zertifikaten ausstatten, das TLS auf die erlaubten Cipher-Suiten beschränken, und wenn man die Dokumente mal genau liest, darf so ein SuiteB-Betrieb eigentlich auch nicht parallel zu anderen Sachen auf dem gleichen physischen Gerät gemacht werden - also nicht einfach eine weitere SSID aufspannen und in ein anderes VLAN leiten...
Wenn Du Fast Roaming zwischen 2,4 und 5 GHz haben willst, müssen die RSNEs identisch sein. Was je nachdem dann nicht geht. Dieser SuiteB-192-Betrieb verlangt z.B. auch den Einsatz von GCMP256 statt des "klassischen" CCMP128 als Bulk-Cipher. Das können die ganzen Wave1-Chips in den LANCOM-APs nicht. Womit sich die verrückte Situation ergibt, daß SuiteB z.B. auf einem LN-830 auf den eigentlich älteren 2,4GHz-WLAN geht, auf dem 5er aber nicht.Und sollte alles (an AKMs) und den oben genannten Dingen sowohl im 2.4 GHZ Band und 5 GHz Band deckungsgleich angeboten werden? Oder gibt es dabei Unterschiede oder gar Restriktionen?
Viele Grüße
Alfred