L-1310acn Syslog-Meldung AES/TKIP sequence number reused...

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

L-1310acn Syslog-Meldung AES/TKIP sequence number reused...

Beitrag von DGrand »

Hallo Forum,
heute wurde ein neues Wlan-Gerät im 1310acn und 1783vaw angemeldet .. also die MAC hinterlegt und entsprechend das Kennwort für das Wlan im Client.

Im Syslog vom 1310acn, welcher vom Client erreicht wird, taucht folgende Meldung auf

KERN Alarm [WLAN-1] AES/TKIP sequence number reused on different prio level by peer [IP vom Client]

Hat jemand eine Idee wo die Säge klemmt?

Danke für Eure Hilfe.

Mfg Daniel
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: L-1310acn Syslog-Meldung AES/TKIP sequence number reused

Beitrag von alf29 »

Moin,

Das bedeutet, daß ein Client etwas macht, was nach strenger Lesart des 802.11-Standards nicht erlaubt ist. Eine Sequenznummer darf bei AES/TKIP-Verschlüsselung nur einmal benutzt werden, sonst bekommt man das. was im Umfeld KRACK hinreichend beschrieben worden ist.

In diesem Fall ist die Sache nicht ganz so übel. weil die Wiederverwendung auf einer anderen Prio-Stufe passiert und damit nicht das gleiche Onetime-Pad zweimal verwendet wird, in Ordnung ist das aber eigentlich immer noch nicht. Du kannst versuchen, beim Hersteller des Clients zu meckern (meist hoffnungslos), oder diese Prüfung im LCOS abschalten, oder mit ihr leben...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: L-1310acn Syslog-Meldung AES/TKIP sequence number reused

Beitrag von Jirka »

Hallo Alfred,

aber das ist jetzt kein Hinweis darauf, dass beim WLAN-Client eine KRACK-Lücke besteht? Also was ich eigentlich wissen will, ist diese Ausgabe eine Sache, die letzten Monat nachgerüstet wurde, oder gibt es die schon länger? Gab es im Rahmen der KRACK-Bugfixes auch Meldungen, die implementiert wurden, wodran man jetzt sieht, dass der Client noch nicht gefixt ist?

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: L-1310acn Syslog-Meldung AES/TKIP sequence number reused

Beitrag von alf29 »

Moin,

nein, bei KRACK geht es um die Wieder-Verwendung einer Sequenznummer auf der gleichen Prio-Stufe. Hier verwendet der Client die gleiche Sequenznummer auf einer anderen Prio-Stufe wieder (z.B. Voice versus Best Effort). Ob das ein Security-Problem oder nur eine Verletzung der Buchstaben des 802.11-Standards ist, kann ich nicht beurteilen, dafür geht mein Wissen in Kryptographie nicht weit genug. Deshalb nur eine (abschaltbare) Warnung und kein Fehler.
Also was ich eigentlich wissen will, ist diese Ausgabe eine Sache, die letzten Monat nachgerüstet wurde, oder gibt es die schon länger?
Nein, die gibt es schon seit Jahren - und immer wieder Clients, bei denen sie zuschlägt...
Gab es im Rahmen der KRACK-Bugfixes auch Meldungen, die implementiert wurden, wodran man jetzt sieht, dass der Client noch nicht gefixt ist?
Nein, gibt es nicht. Wir hatten so etwas überlegt, daß man als AP bewußt die Message 3 im Key-Handshake wiederholt und schaut, ob der Client im nächsten Datenpaket den Sequenzzähler zurücksetzt oder nicht. Ist aber hier nicht beauftragt worden.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: L-1310acn Syslog-Meldung AES/TKIP sequence number reused

Beitrag von Jirka »

Hallo Alfred,

vielen Dank, dann sind ja alle Unklarheiten beseitigt.
alf29 hat geschrieben:dafür geht mein Wissen in Kryptographie nicht weit genug.
wenn Du das schon sagst...
alf29 hat geschrieben:Deshalb nur eine (abschaltbare) Warnung
Nur der Vollständigkeit halber: Das wäre dann der Parameter Omit-Global-Crypto-Sequence-Check (Globale-Krypto-Sequenz-Pruefung-auslassen)?

Vielen Dank und viele Grüße,
Jirka
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: L-1310acn Syslog-Meldung AES/TKIP sequence number reused

Beitrag von alf29 »

wenn Du das schon sagst...
Ich bin Ingenieur. Ich setze die Methoden der Mathematiker ein, ohne sie zu verstehen ;-)
Nur der Vollständigkeit halber: Das wäre dann der Parameter Omit-Global-Crypto-Sequence-Check (Globale-Krypto-Sequenz-Pruefung-auslassen)?
Korrekt.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
DGrand
Beiträge: 65
Registriert: 04 Nov 2015, 19:19

Re: L-1310acn Syslog-Meldung AES/TKIP sequence number reused

Beitrag von DGrand »

Danke für Eure ausführlichen und fundierten Antworten :)
Router/ Modem: 1781VA-4G + ALL-IP + VPN25 & 1783VAW I Wlan: L-1302acn & L-1310acn & WLC-4006+ I Switch: GS-2326 & GS-2310P
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: L-1310acn Syslog-Meldung AES/TKIP sequence number reused...

Beitrag von Jirka »

Hallo Alfred,

Syslog-Server die meckern, dass sie ungewöhnlich viele Meldungen pro Stunde bekommen, zwingen mich, hier noch mal Änderungen vorzunehmen und oben angegebenen Parameter grundsätzlich abzuschalten, denn auch das geräteinterne Syslog läuft über, da die Seq-Number sich für jede Meldung unterscheidet und so Meldungen nicht kumuliert werden können. Und an der Stelle frage ich mich jetzt, was denn die Einstellung Auto bedeutet, obwohl ich eigentlich schon festgestellt habe, dass Auto für mich nicht das richtige ist und eigentlich nur No in Frage kommt.

Code: Alles auswählen

Possible values in menu 'WLAN' with prefix 'omit':
[115] Omit-Global-Crypto-Sequence-Check : Auto (0), No (1), Yes (2)
Für mich entsteht hier, obwohl ich es noch nie ausprobiert habe, der Eindruck, dass Auto = Yes ist, oder was macht Auto anders als Yes?

Ahh - die WEBconfig-Hilfe hilft hier sogar weiter, damit hat sich die Frage jetzt erledigt, aber nun könnte es der Vollständigkeit halber dann hier in diesem Thread auch angegeben werden, insofern klicke ich hier jetzt trotzdem noch auf Absenden...
LCOS enthält eine Liste der für diese Verhalten bekannten Geräte und schaltet in der Einstellung "Auto" die globale Sequenzprüfung ab. Für andere, noch nicht in der Liste enthaltenen Geräte muss die globale Sequenzprüfung manuell deaktiviert werden.
Viele Grüße,
Jirka
Antworten