3
802-11w - Von jedem AP unterstützt?
Moin,
im Zuge der aktuellen Fragattack-Debatte überlegen auch wir, wie wir uns schützen können.
Aufbau aktuell:
Jetzt habe ich gestern einmal testweise 802.11w MFP als "Required" für unsere WLANs konfiguriert. Umgehend kam die Meldung, dass die WLAN-Verbindung nicht mehr funktioniert (Verbindung zum AP OK, Verbindung nach außen - Internet funktioniert nicht mehr). Statt "Required" nun "Capable" ausgewählt, funktioniert sofort wieder.
Frage nun:
Da die User sich mit recht aktuellen Geräten zu verbinden versucht hatten (Dell-Notebook mit aktuellem Windows 10 von 2019, Smartphone mit aktuellem Android 11), kann es sein, dass der AP das einfach nicht kann, weil zu alt? In diesem Fall Ruckus ZF7372, ich konnte bei Ruckus keine Kompatibilitätslisten o.ä. finden. Oder ist das eine reine Software-Angelegenheit?
Zum Glück ist @aqui wieder da
Gruß
im Zuge der aktuellen Fragattack-Debatte überlegen auch wir, wie wir uns schützen können.
Aufbau aktuell:
- Ruckus Smartzone VSZ100, Version 5.2.2.0.317 (gibt bereits einen Patch, der aber noch nicht installiert ist, für die alten APs ZF7372 wird die FW 3.62 genutzt)
- Diverse Ruckus APs: ZF7372, R500...
Jetzt habe ich gestern einmal testweise 802.11w MFP als "Required" für unsere WLANs konfiguriert. Umgehend kam die Meldung, dass die WLAN-Verbindung nicht mehr funktioniert (Verbindung zum AP OK, Verbindung nach außen - Internet funktioniert nicht mehr). Statt "Required" nun "Capable" ausgewählt, funktioniert sofort wieder.
Frage nun:
Da die User sich mit recht aktuellen Geräten zu verbinden versucht hatten (Dell-Notebook mit aktuellem Windows 10 von 2019, Smartphone mit aktuellem Android 11), kann es sein, dass der AP das einfach nicht kann, weil zu alt? In diesem Fall Ruckus ZF7372, ich konnte bei Ruckus keine Kompatibilitätslisten o.ä. finden. Oder ist das eine reine Software-Angelegenheit?
Zum Glück ist @aqui wieder da
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666967
Url: https://administrator.de/contentid/666967
Printed on: April 23, 2024 at 10:04 o'clock
3 Comments
Latest comment
Sowohl dein Controller als auch die 7372er APs sind geschützt aber nur wenn du den Patch vom 11. Mai 21 einspielst und die APs entsprechend auf diesen Patch updatest:
https://support.ruckuswireless.com/fragattacks-ruckus-technical-support- ...
802.1w ist in dem meisten Endgeräten aktiv. 5.2.2. supportet es auch so das deine 7372er APs es ebenso tun.
Wenn du noch Wartung auf dem VSZ hast kontaktierst du mal den lokalen Ruckus SE und fragst nach wenn du ganz sicher gehen willst.
Windows ab Ver. 8. Letztlich aber immer auch eine Treiberfrage ob das entsprechend umgesetzt wird.
Wenn du auf "Required" gehst erzwingt der AP Protected Mgmt. Frames von den Clients und schmeisst alle raus die es nicht supporten.
Hat den Vorteil das du dann gleich die Client Kandidaten rausgefischt hast die das nicht können um diese anzupassen. Treiber Update usw. und du erzwingst dann diese Sicherheit im Netz.
Es gibt aber sicher ggf. ältere Geräte die das nicht können. Der Mode "Optional" wäre dann also besser was das dynamisch dann je nach Verfügbarkeit macht. Erzwingt es bei denen die es können und bei denen die es nicht können eben nicht.
Konsequenterweise sollte man diese dann aber besser in eine separate SSID isolieren mit erhöhten Security Settings.
WPA3 bringt von Haus aus .11w mit, da ist das mandatory !
https://support.ruckuswireless.com/fragattacks-ruckus-technical-support- ...
802.1w ist in dem meisten Endgeräten aktiv. 5.2.2. supportet es auch so das deine 7372er APs es ebenso tun.
Wenn du noch Wartung auf dem VSZ hast kontaktierst du mal den lokalen Ruckus SE und fragst nach wenn du ganz sicher gehen willst.
Windows ab Ver. 8. Letztlich aber immer auch eine Treiberfrage ob das entsprechend umgesetzt wird.
Wenn du auf "Required" gehst erzwingt der AP Protected Mgmt. Frames von den Clients und schmeisst alle raus die es nicht supporten.
Hat den Vorteil das du dann gleich die Client Kandidaten rausgefischt hast die das nicht können um diese anzupassen. Treiber Update usw. und du erzwingst dann diese Sicherheit im Netz.
Es gibt aber sicher ggf. ältere Geräte die das nicht können. Der Mode "Optional" wäre dann also besser was das dynamisch dann je nach Verfügbarkeit macht. Erzwingt es bei denen die es können und bei denen die es nicht können eben nicht.
Konsequenterweise sollte man diese dann aber besser in eine separate SSID isolieren mit erhöhten Security Settings.
WPA3 bringt von Haus aus .11w mit, da ist das mandatory !
1
Wifi wird immer an Sicherheitsproblemen leiden.
Meine alte Alma Mater löste das Problem damals radikal anders: das WLAN hatte überhaupt keine Verschlüsselung. Man musste sich zunächst per HTTPS auf einem Captive Portal für eine Session freischalten, und danach ging's nur noch mit VPN weiter. Auch für das brauchte man Logindaten.
Der Charme an der Lösung ist, dass damit die Aktualität der Hardware nicht mehr so wichtig ist. Dafür ist dann die Sicherheit der VPN-Lösung entscheidend.
Meine alte Alma Mater löste das Problem damals radikal anders: das WLAN hatte überhaupt keine Verschlüsselung. Man musste sich zunächst per HTTPS auf einem Captive Portal für eine Session freischalten, und danach ging's nur noch mit VPN weiter. Auch für das brauchte man Logindaten.
Der Charme an der Lösung ist, dass damit die Aktualität der Hardware nicht mehr so wichtig ist. Dafür ist dann die Sicherheit der VPN-Lösung entscheidend.
1
Prima, danke Euch!
Ich werde das noch einmal ausführlicher testen, wenn ich nächste Woche wieder vor Ort bin.
Schönes Pfingstwochenende!
Ich werde das noch einmal ausführlicher testen, wenn ich nächste Woche wieder vor Ort bin.
Schönes Pfingstwochenende!
