Lancom *883* - WLAN WPA3 (only) - AES-CCMP-128 vs. AES-CCMP-256

[plumpsack]

Unter

https://lancom-router/config2/1/0?table_val016_display

steht u.A.:

WPA2 and WPA3 session key types

AES-CCMP-128 als aktiviert.

Aktiviere ich jetzt AES-CCMP-256 und deaktiviere AES-CCMP-128 kann ich mich nachträglich nicht mehr an meine AP's anmelden, diese sind im Netzwerk-Manager, unter Linux*, grau invertiert.

* Debian Bullseye sowie Fedora 35

Liegt das jetzt an meiner "alten" WLAN-Hardware?

Danke schon einmal für die Infos vorab.

[GrandDixence]

Mit dem unten stehenden "iw info"-Befehl kontrollieren, ob die WLAN-Funkhardware im Laptop auch AES-CCMP-256 unterstützt. Die Angaben im Abschnitt "Supported Ciphers:" konsultieren. Zum Beispiel:

Supported Ciphers:
* WEP40 (00-0f-ac:1)
* WEP104 (00-0f-ac:5)
* TKIP (00-0f-ac:2)
* CCMP-128 (00-0f-ac:4)
* CMAC (00-0f-ac:6)

Mit dem Befehl:

# journalctl -f

fortlaufend die Fehlerausgaben des Linux-Rechners beobachten.


Anleitung zum WLAN abhorchen mit Wireshark
================================================================================

Anleitung wurde für SUSE Linux Enterprise Desktop 15 (SLED15) geschrieben!


Informationen über die WLAN-Funkhardware holen
--------------------------------------------------------------------------------
- Informationen über die WLAN-Funkhardware einholen:

# iw phy phy0 info

- Information über die vorhandenen WLAN-Hardwareschnittstellen einholen:

# iw dev


WLAN abhorchen - Vorbereitungsarbeiten
--------------------------------------------------------------------------------
- Flugmodus (RF-kill) ausschalten. In der GNOME-Symbolleiste darf kein
Flugzeugsymbol ersichtlich sein.

- Die Abhorchaktion störender NetworkManager stoppen:

# systemctl stop NetworkManager.service

- WLAN-Schnittstelle für den Monitoring-Betrieb (Abhorch-Betrieb) erstellen:

# iw phy phy0 interface add mon0 type monitor

- Bestehende, überflüssige und nur noch störende WLAN-Schnittstellen entfernen:

# iw dev
# iw dev wlan0 del
# iw dev

- WLAN-Schnittstelle für den Monitoring-Betrieb einschalten:

# ip link set dev mon0 up
# ip link
=> mon0: state UNKNOWN


WLAN abhorchen - Aufzeichnen
--------------------------------------------------------------------------------
- Gewünschter abzuhorchender WLAN-Kanal wählen:

# iw dev mon0 set channel 36

- WLAN-Datenverkehr mit Wireshark im "Monitor-Modus" aufzeichnen:

# dumpcap -i mon0 -I -B 10 -w /tmp/test.pcapng

- Zugriffsrechte auf die Aufzeichnungen anpassen:

# chown foo:users /tmp/test.pcapng

[GrandDixence]

Vollständigkeitshalber und zur Akte:

Das Pendant zum "iw info"-Befehl lautet unter Windows-Betriebssystemen:

# netsh wlan show drivers

https://support.microsoft.com/de-de/win ... f24dc63f09

https://www.intel.com/content/www/us/en ... eless.html

[plumpsack]

@GrandDixence

Danke für deine Informationen.

Ich habe mal, zum Testen, die TP-Link TL-WN722N rausgeschmissen.

Die verursachten bei wpa3 immer wieder die Fehlermeldung:

Code: Alles auswählen

KERN 	Alarm 	[WLAN-1] AES/TKIP sequence number reused on different prio level by peer "TP-Link" ...

Zu "AES/TKIP sequence number reused on different prio level by peer" gibt es hier, im Forum, leider keine hilfreichen Informationen.

obwohl die TP-Link TL-WN722N laut "iw list" bzw. "iw phy phy0 info"

Code: Alles auswählen

	Supported Ciphers:
		* WEP40 (00-0f-ac:1)
		* WEP104 (00-0f-ac:5)
		* TKIP (00-0f-ac:2)
		* CCMP-128 (00-0f-ac:4)
		* CCMP-256 (00-0f-ac:10)
		* GCMP-128 (00-0f-ac:8)
		* GCMP-256 (00-0f-ac:9)
		* CMAC (00-0f-ac:6)
		* CMAC-256 (00-0f-ac:13)
		* GMAC-128 (00-0f-ac:11)
		* GMAC-256 (00-0f-ac:12)

sagen.

Den Fehler mit der Meldung

AES/TKIP sequence number reused on different prio level by peer

konnte ich erst einmal mit dem Einsatz einer Azurewave-WLAN-Karte unterbinden.

Auch diese sagt laut "iw list" bzw. "iw phy phy0 info"

Code: Alles auswählen

	Supported Ciphers:
		* WEP40 (00-0f-ac:1)
		* WEP104 (00-0f-ac:5)
		* TKIP (00-0f-ac:2)
		* CCMP-128 (00-0f-ac:4)
		* CCMP-256 (00-0f-ac:10)
		* GCMP-128 (00-0f-ac:8)
		* GCMP-256 (00-0f-ac:9)
		* CMAC (00-0f-ac:6)
		* CMAC-256 (00-0f-ac:13)
		* GMAC-128 (00-0f-ac:11)
		* GMAC-256 (00-0f-ac:12)

Mache ich da etwas bei den Einstellungen des Lancom-Routers falsch?

Bei mir funkioniert nur:

WPA2 and WPA3 session key types

Code: Alles auswählen

X	AES-CCMP-128 
O	AES-CCMP-256
O	AES-GCMP-128
O	AES-GCMP-256

Danke schon einmal für die Infos vorab.

[GrandDixence]

Zur genannten Fehlermeldung gibt es sogar einen eigenen Konfigurationsschalter im LCOS:

LCOS-Menübaum > Setup > WLAN > Globale-Krypto-Sequenz-Pruefung-auslassen

Diese Fehlermeldung findet man aber auch beim Einsatz vom WPA2 im Logbuch des LANCOM Wireless Access Points (Syslog)!

Ansonsten muss man sich bei den ersten "WPA3-Gehversuche" mit den üblichen Fehlersuchmitteln durchschlagen:

- Packet Capture + Wireshark
- Trace (auf LANCOM-Geräten)
- journalctl (auf Linux-Kisten)

Siehe dazu:
https://forums.opensuse.org/showthread. ... ost3019976

viewtopic.php?f=31&t=17621&p=99943#p99943

Ich mache zur Zeit auch die ersten "WPA3-Gehversuche. Und habe Probleme mit dem LANCOM Wireless Access Point:
lancom-wireless-aktuelle-accesspoints-f ... 19373.html

wie auch mit der SHA256- respektive WPA3-Enterprise-Unterstützung vom NetworkManager unter SUSE Linux Enterprise Desktop 15. Beim Einsatz vom NetworkManager mit einer Linux-Distribution sollte das Netzwerkverbindungskonfigurationsprofil (connection profile) mit nmcli kontrolliert werden. Siehe dazu:

https://askubuntu.com/questions/1290589 ... 90#1290590

Code: Alles auswählen

# man nm-settings

WLAN-Sicherheitseinstellungen alle korrekt konfiguriert (Auszug aus "# man nm-settings"):

Code: Alles auswählen

   802-11-wireless-security setting
       Wi-Fi Security Settings.

       ┌────────────────────┬───────────────────────────────┬───────────────┬────────────────────────────────────────────┐
       │Key Name            │ Value Type                    │ Default Value │ Value Description                          │
       ├────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤
       │auth-alg            │ string                        │               │ When WEP is used (ie, key-mgmt = "none"    │
       │                    │                               │               │ or "ieee8021x") indicate the 802.11        │
       │                    │                               │               │ authentication algorithm required by the   │
       │                    │                               │               │ AP here.  One of "open" for Open System,   │
       │                    │                               │               │ "shared" for Shared Key, or "leap" for     │
       │                    │                               │               │ Cisco LEAP.  When using Cisco LEAP (ie,    │
       │                    │                               │               │ key-mgmt = "ieee8021x" and auth-alg =      │
       │                    │                               │               │ "leap") the "leap-username" and            │
       │                    │                               │               │ "leap-password" properties must be         │
       │                    │                               │               │ specified.                                 │
       ├────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤
       │fils                │ int32                         │ 0             │ Indicates whether Fast Initial Link Setup  │
       │                    │                               │               │ (802.11ai) must be enabled for the         │
       │                    │                               │               │ connection.  One of                        │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_FILS_DEFAULT  │
       │                    │                               │               │ (0) (use global default value),            │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_FILS_DISABLE  │
       │                    │                               │               │ (1) (disable FILS),                        │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_FILS_OPTIONAL │
       │                    │                               │               │ (2) (enable FILS if the supplicant and     │
       │                    │                               │               │ the access point support it) or            │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_FILS_REQUIRED │
       │                    │                               │               │ (3) (enable FILS and fail if not           │
       │                    │                               │               │ supported).  When set to                   │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_FILS_DEFAULT  │
       │                    │                               │               │ (0) and no global default is set, FILS     │
       │                    │                               │               │ will be optionally enabled.                │
       ├────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤
       │group               │ array of string               │               │ A list of group/broadcast encryption       │
       │                    │                               │               │ algorithms which prevents connections to   │
       │                    │                               │               │ Wi-Fi networks that do not utilize one of  │
       │                    │                               │               │ the algorithms in the list.  For maximum   │
       │                    │                               │               │ compatibility leave this property empty.   │
       │                    │                               │               │ Each list element may be one of "wep40",   │
       │                    │                               │               │ "wep104", "tkip", or "ccmp".               │
       ├────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤
       │key-mgmt            │ string                        │               │ Key management used for the connection.    │
       │                    │                               │               │ One of "none" (WEP), "ieee8021x" (Dynamic  │
       │                    │                               │               │ WEP), "wpa-psk" (infrastructure WPA-PSK),  │
       │                    │                               │               │ "sae" (SAE) or "wpa-eap" (WPA-Enterprise). │
       │                    │                               │               │ This property must be set for any Wi-Fi    │
       │                    │                               │               │ connection that uses security.             │
────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤
       │pairwise            │ array of string               │               │ A list of pairwise encryption algorithms   │
       │                    │                               │               │ which prevents connections to Wi-Fi        │
       │                    │                               │               │ networks that do not utilize one of the    │
       │                    │                               │               │ algorithms in the list. For maximum        │
       │                    │                               │               │ compatibility leave this property empty.   │
       │                    │                               │               │ Each list element may be one of "tkip" or  │
       │                    │                               │               │ "ccmp".                                    │
       ├────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤
       │pmf                 │ int32                         │ 0             │ Indicates whether Protected Management     │
       │                    │                               │               │ Frames (802.11w) must be enabled for the   │
       │                    │                               │               │ connection.  One of                        │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_PMF_DEFAULT   │
       │                    │                               │               │ (0) (use global default value),            │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_PMF_DISABLE   │
       │                    │                               │               │ (1) (disable PMF),                         │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_PMF_OPTIONAL  │
       │                    │                               │               │ (2) (enable PMF if the supplicant and the  │
       │                    │                               │               │ access point support it) or                │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_PMF_REQUIRED  │
       │                    │                               │               │ (3) (enable PMF and fail if not            │
       │                    │                               │               │ supported).  When set to                   │
       │                    │                               │               │ NM_SETTING_WIRELESS_SECURITY_PMF_DEFAULT   │
       │                    │                               │               │ (0) and no global default is set, PMF will │
       │                    │                               │               │ be optionally enabled.                     │
       ├────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤
       │proto               │ array of string               │               │ List of strings specifying the allowed WPA │
       │                    │                               │               │ protocol versions to use. Each element may │
       │                    │                               │               │ be one "wpa" (allow WPA) or "rsn" (allow   │
       │                    │                               │               │ WPA2/RSN).  If not specified, both WPA and │
       │                    │                               │               │ RSN connections are allowed.               │
       ├────────────────────┼───────────────────────────────┼───────────────┼────────────────────────────────────────────┤

Zu WPA3 finde ich in der LCOS-Menüreferenz von LCOS 10.42 RU2 folgende Konfigurationsschaltern:

LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung > WPA-Version
LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung > WPA-802.1X-Security-Level
LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung > WPA2-3-Sitzungsschluessel

LCOS-Menübaum > Setup > Schnittstellen > WLAN > Interpoint-Verschluesselung > WPA-Version
LCOS-Menübaum > Setup > Schnittstellen > WLAN > Interpoint-Verschluesselung > WPA-802.1X-Security-Level
LCOS-Menübaum > Setup > Schnittstellen > WLAN > Interpoint-Verschluesselung > WPA2-3-Sitzungsschluessel

LCOS-Menübaum > Setup > WLAN-Management > AP-Konfiguration > Netzwerkprofile > WPA-Version
LCOS-Menübaum > Setup > WLAN-Management > AP-Konfiguration > Netzwerkprofile > WPA-802.1X-Security-Level
LCOS-Menübaum > Setup > WLAN-Management > AP-Konfiguration > Netzwerkprofile > WPA2-3-Sitzungsschluessel

Wurden alle diese Konfigurationsschaltern korrekt gesetzt und kontrolliert?

[GrandDixence]

Beim Einsatz vom NetworkManager mit einer Linux-Distribution sollte auch die NetworkManager-Konfigurationsdatei NetworkManager.conf mit einer eigenen, selbst konfigurierten Konfigurationsdatei ergänzt werden:

Code: Alles auswählen

# ls -alh /etc/NetworkManager/conf.d/
insgesamt 4.0K
drwxr-xr-x 2 root root  40 17. Apr 15:25 .
drwxr-xr-x 7 root root 130 17. Apr 15:25 ..
-rw-r--r-- 1 root root  40 17. Apr 15:20 00-Disable_Random_MAC.conf

Code: Alles auswählen

# more /etc/NetworkManager/conf.d/00-Disable_Random_MAC.conf
[device]
wifi.scan-rand-mac-address=no

[connection]
wifi-sec.pmf=3

Die erste Konfigurationsänderung erlaubt den Einsatz eines MAC-Filters im Wireless Access Point, wie er unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p109508
vorgestellt wurde. MAC-Adresse der WLAN-Funkhardware kontrollieren:

Code: Alles auswählen

# ip addr show

Die zweite Konfigurationsänderung erzwingt den Einsatz von "Management Frame Protection" aka "Protected management frame" nach IEEE 802.11w.

Siehe:

Code: Alles auswählen

# man NetworkManager.conf

für mehr Informationen.

Eine Abschaltung der Unterstützung von CCMP-128 im Wireless Access Point scheint gemäss:
https://framebyframewifi.net/2016/08/02 ... n-upgrade/
nicht einfach so möglich zu sein!

Beim Einsatz von NetworkManager sollten Netzwerkkonfigurationsprofile (connection profile) für WPA2-/WPA3-Enterprise vor dem Erstgebrauch mit:

Code: Alles auswählen

# su
# nm-connection-editor

erstellt werden. Im Register "Sicherheit des Funknetzwerks" folgende Angaben machen:

- Sicherheit: "WPA & WPA2 Enterprise
- Legitimierung: TLS
- Identität: <Rechnername WLAN-Client>
- CA-Zertifikat: *.pem-Datei mit dem öffentlichen Schlüssel der CA (Certificate Authority)
- User-Zertifikat: Pfad zur PKCS#12-Datei (*.p12) mit dem Maschinenzertifikat (öffentlicher und privater Schlüssel inklusive Beglaubigung durch CA)
- Passwort des User-Zertifikats: Passwort für den Lesezugriff auf die verschlüsselte PKCS#12-Datei (*.p12)

Zum Einsatz von Maschinenzertifikaten (X.509-Zertifikaten) siehe auch:
alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... tml#p98556

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

[plumpsack]

Mal ne frage zu WPA3-Personal,

kann es sein, das da nur die minimalen Voraussetzungen erfüllt werden?

Siehe hierzu
https://de.wikipedia.org/wiki/WPA3

Selbst meine aktuellste WIFi-Hardware, AX200, unterstützt laut Intel nur 128-bit AES-CCMP und 256-bit AES-GCMP.

256-bit AES-GCMP ist wohl für den WPA3-Enterprise mode.

Für was bzw. welche Hardware ist dann AES-CCMP-256?

[plumpsack]

Nachtrag:

Nach Umstellung auf SAE / WPA3-Personal keine Meldungen mehr wie z.B.:

BlockAck-Attack
Null-Data-P-S-Attack

im Web-If unter:

Code: Alles auswählen

LCOS Menu Tree
		Status
		--	WLAN
		--	--	Wireless-IDS

Ebenfalls keine Meldungen mehr im Syslog wie:

Code: Alles auswählen

KERN 	Alarm 	[WLAN-x]

Code: Alles auswählen

WLAN protocol error communicating with ...: Number of bit rates in SupportedRates element (80) exceeds al
WLAN protocol error communicating with ...: SSID info element given once again (with zero length), ignori
WLAN protocol error communicating with ...: Address3 is not broadcast BSSID in broadcasted probe request
WLAN protocol error communicating with ...: Number of bit rates in SupportedRates element (12) exceeds al
WLAN protocol error communicating with ...: SSID info element given once again (with zero length), ignoring
WLAN protocol error communicating with ...: info element 111 requested multiple times in request list
WLAN protocol error communicating with ...: AC(s) missing from EDCA info

Aber immer noch:

WLAN error: too many beacon transmit failures

Code: Alles auswählen

AP-1
2022-05-10 12:40:33 	KERN 	Alarm 	last message repeated 4 times
2022-05-10 12:20:13 	KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

Code: Alles auswählen

AP-2
2022-05-10 12:40:32 	KERN 	Alarm 	last message repeated 2 times
2022-05-10 12:36:05 	KERN 	Alarm 	[WLAN-1] WLAN error: too many beacon transmit failures

Keines meiner WLAN-Geräte war, zu dem Zeitpunkt, im WLAN angemeldet!

Weder an AP-1 noch an AP-2.

Auf AP1 - 20 Minuten lang "too many beacon transmit failures" - Was ist das, ein Jammer?

[GrandDixence]

Auf AP1 - 20 Minuten lang "too many beacon transmit failures" - Was ist das, ein Jammer?

Siehe:
viewtopic.php?f=41&t=14922&p=82794

viewtopic.php?f=35&t=13637&p=73778&hili ... %25#p73778

WLAN-Entstörung gemäss der Anleitung unter:
lancom-wireless-aktuelle-accesspoints-f ... 17257.html
Viel Glück!

[plumpsack]

Bis jetzt keine weiteren Meldungen mehr mit

Code: Alles auswählen

too many beacon transmit failures

Jammer (Störer) kann ja alles Mögliche sein, selbst analoge Geräte die im 2.4 Ghz-Bereich herumfunken.

Ich werde das weiter beobachten