Was bedeutet "Standard" bei der WPA-802.1X AKM Konfiguration?

[geppi]

Für WPA2-802.1X bewirkt bei einem 1302acn mit LCOS 10.34.0308 die Einstellung "Standard" das "Auth Key Management (AKM) type: WPA (1)",
bei einem LW600 mit LCOS-LX 6.12.0024Rel hingegen bewirkt "Standard" das "Auth Key Management (AKM) type: WPA (SHA256) (5)".

Was definiert die Spezifikation denn nun als "Standard"?

Ich hab hier nämlich zwei alte Clients, die mit SHA256 beim AKM offensichtlich nix anfangen können.
Allerdings sehe ich beim LX auch keine Möglichkeit unter dessen "Standard" zu gehen.

[GrandDixence]

Das Thema "802.11w" wurde unter:
lancom-wireless-aktuelle-accesspoints-f ... 19373.html
ausführlich behandelt. Gemäss:
https://support.hpe.com/hpesc/public/do ... cale=en_US
ist HMAC-SHA-256 mit IEEE 802.11w gekoppelt?!

Wenn das Betriebssystem LCOS LX den hostapd (von Jouni Malinen) verwendet, so lässt sich der AKM in der hostapd-Konfigurationsdatei hostapd.conf mit dem Parameter "wpa_key_mgmt" umkonfigurieren:

Code: Alles auswählen

wpa_key_mgmt=WPA-EAP-SHA256                  => AKM suite type:=5  -> HMAC-SHA-256
wpa_key_mgmt=WPA-EAP                                           => AKM suite type:=1  -> HMAC-SHA-1


# Set of accepted key management algorithms (WPA-PSK, WPA-EAP, or both). The
# entries are separated with a space. WPA-PSK-SHA256 and WPA-EAP-SHA256 can be
# added to enable SHA256-based stronger algorithms.
# WPA-PSK = WPA-Personal / WPA2-Personal
# WPA-PSK-SHA256 = WPA2-Personal using SHA256
# WPA-EAP = WPA-Enterprise / WPA2-Enterprise
# WPA-EAP-SHA256 = WPA2-Enterprise using SHA256

Siehe auch:
https://w1.fi/hostapd/

und die Beispiels-hostapd.conf:
https://w1.fi/cgit/hostap/plain/hostapd/hostapd.conf

Wie man aus der "LCOS LX Shell" ausbricht, wurde (leider nicht) unter:
lancom-wireless-aktuelle-accesspoints-f ... 20152.html
beschrieben. Ich würde es mal mit einem simplen SSH-/SCP-Fernzugriff auf den Dateipfad:

/etc/hostapd/hostapd.conf

versuchen. Das wäre der einfachste Weg zur Konfigurationsdatei hostapd.conf bei einer originalen OpenWrt-Installation.

Zum Thema "802.11w" gibt es auch einige beachtenswerte Hinweise im LCOS LX-Referenzhandbuch und in der LCOS LX-Menüreferenz:
https://www.lancom-systems.de/fileadmin ... ual_DE.pdf

https://www.lancom-systems.de/fileadmin ... nce_DE.pdf

Aus Sicherheitsgründen empfiehlt sich der Einsatz von 802.11w (PMF/MFP und HMAC-SHA-256).
PMF => Protected Management Frames
MFP => Management Frame Protection

Siehe auch die Beispiels-hostapd.conf:

Code: Alles auswählen

# ieee80211w: Whether management frame protection (MFP) is enabled
# 0 = disabled (default)
# 1 = optional
# 2 = required
#ieee80211w=0
# The most common configuration options for this based on the PMF (protected
# management frames) certification program are:
# PMF enabled: ieee80211w=1 and wpa_key_mgmt=WPA-EAP WPA-EAP-SHA256
# PMF required: ieee80211w=2 and wpa_key_mgmt=WPA-EAP-SHA256
# (and similarly for WPA-PSK and WPA-PSK-SHA256 if WPA2-Personal is used)
# WPA3-Personal-only mode: ieee80211w=2 and wpa_key_mgmt=SAE

[geppi]

Danke mal wieder für die Links.

Wenn ich die Diskussion in dem von Dir als erstes verlinkten Thread richtig verstanden habe ist lediglich bei WPA3 die AKM SHA256 vorgeschrieben.
Das LX setzt aber auch bei Auswahl von reinem WPA2 die AKM auf SHA256 und bietet in diesem Fall nirgends die AKM Suite Nr. 1 an.

Leider scheint das mit dem Ausbrechen aus der LX Shell nicht so einfach zu sein.
Ich hab's zumindest auf die Schnelle nicht hinbekommen, hab' aber ehrlich gesagt auch nicht die Muße da lange rumzufriemeln.

Sollte doch jemand eine Möglichkeit finden auf das Dateisystem des darunterliegenden Linux zuzugreifen und/oder aus der LX Shell auszubrechen, wäre ein Tipp wie's geht natürlich hoch willkommen.

[GrandDixence]

Setup > WLAN > Encryption > Prot.-Mgmt-Frames auf "No" gesetzt im LCOS LX?

Gemäss LCOS LX-Menüreferenz (siehe oben), Kapitel 2.20.3.19, müsste eine Konfiguration:

Setup > WLAN > Encryption > WPA2-Key-Management:=Standard zur Verwendung von HMAC-SHA-1 führen.

[geppi]

Setup > WLAN > Encryption > Prot.-Mgmt-Frames auf "No" gesetzt im LCOS LX?
.....

Auweia, das ist tatsächlich der springende Punkt. Danke.

Bis "optional" propagiert es die AKM Suite Nr. 1 und ab "Yes" wird der "Standard" zur AKM Suite Nr. 5.
Da kriegste doch 'n Vogel.

Das LCOS bis Version 10.34.0308 ändert da nix. Eine neuere Version kann ich in Ermangelung eines unterstützten LCOS AP leider nicht testen.

Aus dem von Dir verlinkten HPE Dokument https://support.hpe.com/hpesc/public/do ... cale=en_US geht nicht so ganz klar hervor ob die Verwendung von SHA256 von der IEEE 802.11w Spezifikation tatsächlich vorgeschrieben ist, oder ob HPE es lediglich so implementiert hat. Immerhin ist es aber klar und deutlich in der Dokumentation vermerkt und nicht einfach ein Seiteneffekt mit Überraschungsmoment.

Selbst wenn die IEEE 802.11w Spezifikation es vorschreiben würde, müsste das LX dann nicht konsequenter Weise bei der Einstellung "optional" beide AKM Suiten anbieten?

Und wieder zeigt sich, dass es eine tolle Idee war auf eine Kontrollmöglichkeit im Konfigurationsinterface zu verzichten, mit der sich überprüfen ließe, wie die angezeigten Einstellungen tatsächlich umgesetzt werden.

[GrandDixence]

Wenn LCOS 10.34 WPA3-fähig ist, so wird die Konfiguration:

LCOS-Menübaum > Setup > Schnittstellen > WLAN > Verschluesselung > WPA-Version:=WPA3

den Versand der AKM Suite Nr. 5 (802.1x mit SHA-256) einschalten. Siehe:
lancom-wireless-aktuelle-accesspoints-f ... 19373.html

Mobilgeräte, welche:

- WPA2-Enterprise (WPA2 mit 802.1x)
- und PMF/MPF
- und HMAC-SHA-256

unterstützen, sind in der Regel auch tauglich für Funknetzwerke mit WPA3-Enterprise.

[geppi]

Die Inkonsistenz liegt darin, dass LX bei WPA2-802.1X auf SHA256 schaltet, wenn PMF eingeschaltet wird.
LCOS 10.34 tut das bei WPA2-802.1X definitiv nicht.

Was das LCOS bei WPA3-802.1X macht weiß ich nicht, da ich bei meiner WPA3-802.1X Konfiguration Fast-Roaming gesetzt habe und da schicken dann zumindest beide brav auch diese AKM Suite in den Beacons.