Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Moderator: Lancom-Systems Moderatoren
Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Für WPA2-802.1X bewirkt bei einem 1302acn mit LCOS 10.34.0308 die Einstellung "Standard" das "Auth Key Management (AKM) type: WPA (1)",
bei einem LW600 mit LCOS-LX 6.12.0024Rel hingegen bewirkt "Standard" das "Auth Key Management (AKM) type: WPA (SHA256) (5)".
Was definiert die Spezifikation denn nun als "Standard"?
Ich hab hier nämlich zwei alte Clients, die mit SHA256 beim AKM offensichtlich nix anfangen können.
Allerdings sehe ich beim LX auch keine Möglichkeit unter dessen "Standard" zu gehen.
bei einem LW600 mit LCOS-LX 6.12.0024Rel hingegen bewirkt "Standard" das "Auth Key Management (AKM) type: WPA (SHA256) (5)".
Was definiert die Spezifikation denn nun als "Standard"?
Ich hab hier nämlich zwei alte Clients, die mit SHA256 beim AKM offensichtlich nix anfangen können.
Allerdings sehe ich beim LX auch keine Möglichkeit unter dessen "Standard" zu gehen.
-
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Das Thema "802.11w" wurde unter:
lancom-wireless-aktuelle-accesspoints-f ... 19373.html
ausführlich behandelt. Gemäss:
https://support.hpe.com/hpesc/public/do ... cale=en_US
ist HMAC-SHA-256 mit IEEE 802.11w gekoppelt?!
Wenn das Betriebssystem LCOS LX den hostapd (von Jouni Malinen) verwendet, so lässt sich der AKM in der hostapd-Konfigurationsdatei hostapd.conf mit dem Parameter "wpa_key_mgmt" umkonfigurieren:
Siehe auch:
https://w1.fi/hostapd/
und die Beispiels-hostapd.conf:
https://w1.fi/cgit/hostap/plain/hostapd/hostapd.conf
Wie man aus der "LCOS LX Shell" ausbricht, wurde (leider nicht) unter:
lancom-wireless-aktuelle-accesspoints-f ... 20152.html
beschrieben. Ich würde es mal mit einem simplen SSH-/SCP-Fernzugriff auf den Dateipfad:
/etc/hostapd/hostapd.conf
versuchen. Das wäre der einfachste Weg zur Konfigurationsdatei hostapd.conf bei einer originalen OpenWrt-Installation.
Zum Thema "802.11w" gibt es auch einige beachtenswerte Hinweise im LCOS LX-Referenzhandbuch und in der LCOS LX-Menüreferenz:
https://www.lancom-systems.de/fileadmin ... ual_DE.pdf
https://www.lancom-systems.de/fileadmin ... nce_DE.pdf
Aus Sicherheitsgründen empfiehlt sich der Einsatz von 802.11w (PMF/MFP und HMAC-SHA-256).
PMF => Protected Management Frames
MFP => Management Frame Protection
Siehe auch die Beispiels-hostapd.conf:
lancom-wireless-aktuelle-accesspoints-f ... 19373.html
ausführlich behandelt. Gemäss:
https://support.hpe.com/hpesc/public/do ... cale=en_US
ist HMAC-SHA-256 mit IEEE 802.11w gekoppelt?!
Wenn das Betriebssystem LCOS LX den hostapd (von Jouni Malinen) verwendet, so lässt sich der AKM in der hostapd-Konfigurationsdatei hostapd.conf mit dem Parameter "wpa_key_mgmt" umkonfigurieren:
Code: Alles auswählen
wpa_key_mgmt=WPA-EAP-SHA256 => AKM suite type:=5 -> HMAC-SHA-256
wpa_key_mgmt=WPA-EAP => AKM suite type:=1 -> HMAC-SHA-1
# Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The
# entries are separated with a space. WPA-PSK-SHA256 and WPA-EAP-SHA256 can be
# added to enable SHA256-based stronger algorithms.
# WPA-PSK = WPA-Personal / WPA2-Personal
# WPA-PSK-SHA256 = WPA2-Personal using SHA256
# WPA-EAP = WPA-Enterprise / WPA2-Enterprise
# WPA-EAP-SHA256 = WPA2-Enterprise using SHA256
https://w1.fi/hostapd/
und die Beispiels-hostapd.conf:
https://w1.fi/cgit/hostap/plain/hostapd/hostapd.conf
Wie man aus der "LCOS LX Shell" ausbricht, wurde (leider nicht) unter:
lancom-wireless-aktuelle-accesspoints-f ... 20152.html
beschrieben. Ich würde es mal mit einem simplen SSH-/SCP-Fernzugriff auf den Dateipfad:
/etc/hostapd/hostapd.conf
versuchen. Das wäre der einfachste Weg zur Konfigurationsdatei hostapd.conf bei einer originalen OpenWrt-Installation.
Zum Thema "802.11w" gibt es auch einige beachtenswerte Hinweise im LCOS LX-Referenzhandbuch und in der LCOS LX-Menüreferenz:
https://www.lancom-systems.de/fileadmin ... ual_DE.pdf
https://www.lancom-systems.de/fileadmin ... nce_DE.pdf
Aus Sicherheitsgründen empfiehlt sich der Einsatz von 802.11w (PMF/MFP und HMAC-SHA-256).
PMF => Protected Management Frames
MFP => Management Frame Protection
Siehe auch die Beispiels-hostapd.conf:
Code: Alles auswählen
# ieee80211w: Whether management frame protection (MFP) is enabled
# 0 = disabled (default)
# 1 = optional
# 2 = required
#ieee80211w=0
# The most common configuration options for this based on the PMF (protected
# management frames) certification program are:
# PMF enabled: ieee80211w=1 and wpa_key_mgmt=WPA-EAP WPA-EAP-SHA256
# PMF required: ieee80211w=2 and wpa_key_mgmt=WPA-EAP-SHA256
# (and similarly for WPA-PSK and WPA-PSK-SHA256 if WPA2-Personal is used)
# WPA3-Personal-only mode: ieee80211w=2 and wpa_key_mgmt=SAE
Re: Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Danke mal wieder für die Links.
Wenn ich die Diskussion in dem von Dir als erstes verlinkten Thread richtig verstanden habe ist lediglich bei WPA3 die AKM SHA256 vorgeschrieben.
Das LX setzt aber auch bei Auswahl von reinem WPA2 die AKM auf SHA256 und bietet in diesem Fall nirgends die AKM Suite Nr. 1 an.
Leider scheint das mit dem Ausbrechen aus der LX Shell nicht so einfach zu sein.
Ich hab's zumindest auf die Schnelle nicht hinbekommen, hab' aber ehrlich gesagt auch nicht die Muße da lange rumzufriemeln.
Sollte doch jemand eine Möglichkeit finden auf das Dateisystem des darunterliegenden Linux zuzugreifen und/oder aus der LX Shell auszubrechen, wäre ein Tipp wie's geht natürlich hoch willkommen.
Wenn ich die Diskussion in dem von Dir als erstes verlinkten Thread richtig verstanden habe ist lediglich bei WPA3 die AKM SHA256 vorgeschrieben.
Das LX setzt aber auch bei Auswahl von reinem WPA2 die AKM auf SHA256 und bietet in diesem Fall nirgends die AKM Suite Nr. 1 an.
Leider scheint das mit dem Ausbrechen aus der LX Shell nicht so einfach zu sein.
Ich hab's zumindest auf die Schnelle nicht hinbekommen, hab' aber ehrlich gesagt auch nicht die Muße da lange rumzufriemeln.
Sollte doch jemand eine Möglichkeit finden auf das Dateisystem des darunterliegenden Linux zuzugreifen und/oder aus der LX Shell auszubrechen, wäre ein Tipp wie's geht natürlich hoch willkommen.
-
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Setup > WLAN > Encryption > Prot.-Mgmt-Frames auf "No" gesetzt im LCOS LX?
Gemäss LCOS LX-Menüreferenz (siehe oben), Kapitel 2.20.3.19, müsste eine Konfiguration:
Setup > WLAN > Encryption > WPA2-Key-Management:=Standard zur Verwendung von HMAC-SHA-1 führen.
Gemäss LCOS LX-Menüreferenz (siehe oben), Kapitel 2.20.3.19, müsste eine Konfiguration:
Setup > WLAN > Encryption > WPA2-Key-Management:=Standard zur Verwendung von HMAC-SHA-1 führen.
Re: Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Auweia, das ist tatsächlich der springende Punkt. Danke.GrandDixence hat geschrieben: ↑01 Nov 2023, 19:30 Setup > WLAN > Encryption > Prot.-Mgmt-Frames auf "No" gesetzt im LCOS LX?
.....
Bis "optional" propagiert es die AKM Suite Nr. 1 und ab "Yes" wird der "Standard" zur AKM Suite Nr. 5.
Da kriegste doch 'n Vogel.
Das LCOS bis Version 10.34.0308 ändert da nix. Eine neuere Version kann ich in Ermangelung eines unterstützten LCOS AP leider nicht testen.
Aus dem von Dir verlinkten HPE Dokument https://support.hpe.com/hpesc/public/do ... cale=en_US geht nicht so ganz klar hervor ob die Verwendung von SHA256 von der IEEE 802.11w Spezifikation tatsächlich vorgeschrieben ist, oder ob HPE es lediglich so implementiert hat. Immerhin ist es aber klar und deutlich in der Dokumentation vermerkt und nicht einfach ein Seiteneffekt mit Überraschungsmoment.
Selbst wenn die IEEE 802.11w Spezifikation es vorschreiben würde, müsste das LX dann nicht konsequenter Weise bei der Einstellung "optional" beide AKM Suiten anbieten?
Und wieder zeigt sich, dass es eine tolle Idee war auf eine Kontrollmöglichkeit im Konfigurationsinterface zu verzichten, mit der sich überprüfen ließe, wie die angezeigten Einstellungen tatsächlich umgesetzt werden.
-
- Beiträge: 1061
- Registriert: 19 Aug 2014, 22:41
Re: Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Wenn LCOS 10.34 WPA3-fähig ist, so wird die Konfiguration:
LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung > WPA-Version:=WPA3
den Versand der AKM Suite Nr. 5 (802.1x mit SHA-256) einschalten. Siehe:
lancom-wireless-aktuelle-accesspoints-f ... 19373.html
Mobilgeräte, welche:
- WPA2-Enterprise (WPA2 mit 802.1x)
- und PMF/MPF
- und HMAC-SHA-256
unterstützen, sind in der Regel auch tauglich für Funknetzwerke mit WPA3-Enterprise.
LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung > WPA-Version:=WPA3
den Versand der AKM Suite Nr. 5 (802.1x mit SHA-256) einschalten. Siehe:
lancom-wireless-aktuelle-accesspoints-f ... 19373.html
Mobilgeräte, welche:
- WPA2-Enterprise (WPA2 mit 802.1x)
- und PMF/MPF
- und HMAC-SHA-256
unterstützen, sind in der Regel auch tauglich für Funknetzwerke mit WPA3-Enterprise.
Re: Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?
Die Inkonsistenz liegt darin, dass LX bei WPA2-802.1X auf SHA256 schaltet, wenn PMF eingeschaltet wird.
LCOS 10.34 tut das bei WPA2-802.1X definitiv nicht.
Was das LCOS bei WPA3-802.1X macht weiß ich nicht, da ich bei meiner WPA3-802.1X Konfiguration Fast-Roaming gesetzt habe und da schicken dann zumindest beide brav auch diese AKM Suite in den Beacons.
LCOS 10.34 tut das bei WPA2-802.1X definitiv nicht.
Was das LCOS bei WPA3-802.1X macht weiß ich nicht, da ich bei meiner WPA3-802.1X Konfiguration Fast-Roaming gesetzt habe und da schicken dann zumindest beide brav auch diese AKM Suite in den Beacons.