Frage zu Support WPA 3 connection, PMF optional oder disabled, Isolates stations on layer 2 (ethernet) level und Beacon Standard.

Es gibt 4 Antworten in diesem Thema, welches 220 mal aufgerufen wurde. Der letzte Beitrag () ist von Nightsong.

    Hallo zusammen,


    habe einige Fragen was ich geklärt haben möchte. Hatte diverse Diskussionen darüber und möchte nun mal richtig aufgeklärt werden.



    Support WPA3 connections.


    Wenn diese Option an ist, stört dies dann die Clients die WPA3 nicht können erhebtlich oder springen die dann auf WPA2.

    Bekommen die einen Timeout oder sowas. ? Mir wurde gesagt das, wenn ich diese EInstellung tätige, das WLAN instabil wird. ?


    Aussage von einem IT-Admin:

    Das gleiche gilt für WPA3-Support: Es bringt im gemischten Modus gemeinsam mit WPA2 keinen Sicherheitsvorteil, kann aber Verbindungsprobleme bei Geräten verursachen, die WPA3 nicht unterstützen.

    Meine Meinung bitte wenn ich falsche liege berichtigen.

    WPA2/WPA3 im Mischbetrieb verursacht auch keine Probleme und wenn man neue Technologien nie einsetzt, dann wären wir heute immer noch auf dem WEP-Standard.




    PMF hab diese Einstellung von Disabled auf optional gestellt.


    Aussage von einem IT-Admin

    Beispielsweise PMF macht die Verbindung gegen Deauth-Angriffe robuster, PMF wird aber von manchen Geräten nicht richtig unterstützt und verursacht dann komisches Verhalten.


    Meine Meinung bitte wenn ich falsche liege berichtigen.

    PMF macht absolut Sinn, da durch die Deauth-Attacken ein Angreifer das gesamte WLAN stören kann und die Clients immer wieder deauthentifiziert. Das ist mit PMF nicht mehr möglich. Er soll genau belegen, welche Geräte mit PMF Probleme machen.




    Dazu muss ich etwas weiter ausholen. Es sind drei SSIDs vorhanden:

    • SSID 1
    • SSID 2 intern
    • SSID 3 xxx

    Man möchte von SSID 1 auf die SSID intern zugreifen. SSID 1 (Laptop von verschiedenen Mitarbeitern) auf SSID 2 intern z.B. Smartboard.

    In der SSID 2 intern ist die Komplette Serverinfrastruktur, Diverse Dienste zugänge zu MGMT Proxmox, OSense usw. und Smartboards und Wlan AP bzw. Controller. isw.


    SSID 3 Sind Schüler usw.


    Ich habe die L2 Isolates angemacht, damit die Clients untereinander nicht kommunizieren können. Wenn ich ein verseuchten Rechner habe, das es nicht auf andere Rechner übergeht.

    Vermutlich war das blöd ja, aber soweit verstehe ich diese Einstellung nicht und deshalb Frage ich hier auch im Forum nach.


    Zitat von "IT-Admin"

    Aussage von einem IT-Admin Es ist doch mit normalem Menschenverstand nicht zu erklären, wieso bei uns verhindert werden soll, dass Clients untereinander kommunizieren können. Einerseits behindert das die Kommunikation von User-Tablets/Smartphones zu den Smartboards, da meistens beide im gleichen AP eingebucht sind. Gerade das ist ein heikles Thema, da User sich öfters beschweren, dass sie sich nicht mit dem Smartboard verbinden können. Diese aktivierte Einstellung ist wahrscheinlich Ursache der Probleme in letzter Zeit. Andererseits wird das WLAN auch für unsere Verwaltung verwendet, dort müssen alle Geräte miteinander kommunizieren können. Als Admin muss ich auf andere Firmen-Laptops zugreifen können. Mitarbeiter müssen auf WLAN-Drucker in ihren Büros zugreifen können. Jeder normale Admin versteht das.

    Habe den Text mal anonymisiert.


    Ja, ich verstehe dieses Problem: das bedeutet aber, dass z.B. User 1 Client auf User 2 Client auf dem selben WLAN AP zugreifen kann.

    Oder wie kann ich das verstehen.


    Meine Aussage

    Client Isolation macht im XXXXnetz absolut Sinn, da hier die XXXX-Laptops sonst miteinander verbunden sind und ein einzelner XXXX sämtliche Geräte in dem Netz nach Schwachstellen abscannen kann (ungesicherte Datenbanken auf den Laptops, Webserver, usw.). Warum existiert diese Funktion in der weltweiten WLAN-Spezifikation, wenn aus seiner Sicht diese dem "gesunden Menschverstand" widerspricht?



    Ich bitte um sachliche Antworten, damit ich endlich Licht ins dunkle bekomme und auch eine richtige klare Aussage von einem Spezialisten habe. Vielen Dank.


    Beste Grüße


    Nightsong

    Hallo Nightsong und willkommen hier!


    ich bin mir ehrlich gesagt nicht sicher, ob wir hier die richtige "Institution" sind, um Dir Munition für Deinen Zwist mit dem anderen Admin zu liefern. Wenn Du authorisiert bist, Netzwerkeinstellungen anzupassen, kannst Du es doch einfach tun und musst Dich ja nicht mit seiner -aus Deiner Sicht falschen- Meinung auseinandersetzen.


    Endgeräte, die WPA3 nicht unterstützen, nutzen automatisch WPA2. Dass diese Geräte Verbindungsprobleme haben können, habe ich in der Praxis noch nicht erlebt. Es gibt einzelne Berichte darüber, vermutlich sind aber stark überwiegend Billigst-Geräte betroffen, die sehr veraltete WLAN-Chips verbaut haben.

    PMF muss aber auf jeden Fall erzwungen werden, ansonsten haben viele Geräte Verbindungsprobleme.


    Clients innerhalb ihres Subnetzes zu isolieren ergibt aus meiner Sicht in bestimmten Szenarien absolut Sinn - es ist aber wie so oft vom Kontext abhängig. So lange in diesem Subnetz ausschließlich Clients hängen, spricht überhaupt nichts gegen Isolation. Alle Geräte, die auch nur im Ansatz irgendwelche Dienste anbieten, dürfen dann natürlich nicht im selben Subnetz sein.

    Offenbar ist Eure Struktur bzw. Eure Segmentierung ziemlich rudimentär und deutlich ausbaufähig.


    Allerdings: Wenn man seine Smartboards im selben Subnetz wie die Schüler-Clients betreibt und dann client isolation einschaltet, ist das Ergebnis nicht "es gab in letzter Zeit immer mal wieder Probleme" sondern "niemand kann jemals auf die Smartboards zugreifen".


    Ohne Eure Anforderungen und Struktur zu kennen: Das Ziel sollte sehr wahrscheinlich sein, alle Schüler-Endgeräte (und nur diese) in ein eigenes Subnetz zu bringen. Hier kann client isolation eingeschaltet werden und man gibt über Firewall-Regeln alle Ressourcen aus den anderen Subnetzen frei, die Schüler nutzen können sollen.

    Einmal editiert, zuletzt von Networker ()

    Hi erstmal vielen Dank für die Antwort.


    Ich bin Netzwerker von Beruf und bin auch für die Infrastruktur verantwortlich. Da wir eine Cyberattacke hatten, gibt es nun verschiedene Leute die, Admin spielen wollen. Ich möchte aber nicht weiter drauf eingehen. Mir ging es nur darum, ob die Einstellunge korrekt sind oder nicht oder situationsabhängig sind.


    Bei PMF war es also falsch, das es auf disable steht. Ich hatte auf optional gestellt und dachte, dass das ausreicht.


    Unsere Struktur wird nur grade neu aufgebaut, da wir eine Cyberattacke hatten und alles verschlüsselt worden ist. Wir sind am Wiederneuaufbau.


    Wie sieht es aus, wenn Lehrer auf die Smartboards zugreifen müssen, wenn die auf dem selben AP sind?


    Wie ist es, wenn ich L2-Isolation in der SSID aktiviere.


    Wo gilt die Isolation? Gilt das auch übergreifen auf andere SSIDs oder nur im eigenen Subnetz?


    Er wollte ja von SSID auf SSID 2 intern zugreifen und das ging nicht. Sind ja 2 verschiedene Subnetze und ich denke da hat die Firewall reingespuckt und nicht die L2 Isolation.


    Danke beste Grüße

    Zitat von Nightsong

    Bei PMF war es also falsch das es auf disable steht. Ich hatte auf optional gestellt dachte das reicht aus.

    WPA3 ohne PMF geht überhaupt nicht, daher ist die Einstellung bei Dir im Controller ja auch ausgegraut.



    Zitat von Nightsong

    Wie sieht es aus wenn Lehrer auf die Smartboards zugreifen müssen, wenn die auf dem selben AP sind.

    Habe ich Dir ja schon beschrieben. Die Smartboards sollten in ein anderes Subnetz. Dann ist auch egal, auf welchem AP sie gerade eingebucht sind.

    In einer Umgebung wie einer Schule möchtest Du auf gar keinen Fall irgendein (Sicherheits-)Konzept auf dem Umstand aufbauen, dass bestimmte Geräte auf demselben AP oder gerade nicht auf demselben AP liegen.


    Zitat von Nightsong

    Wie ist es wenn ich L2 Isolation in der SSID aktiviere.

    Wo gilt die Isolation. Gilt das auch übergreifen auf andere SSID´s. oder nur im eigenen Subnetz.

    Natürlich nur für die jeweilige SSID und möglicherweise sogar nur für alle Geräte, die auf demselben AP im selben WiFi sind. Das scheint bei Unifi etwas unklar zu sein, vielleicht kann das jemand anderes mit Bestimmtheit sagen.

    Andere Subnetze/SSIDs haben damit nichts zu tun, das würde ja auch so keinen Sinn ergeben.


    Zitat von Nightsong

    Er wollte ja von SSID auf SSID 2 intern zugreifen und das ging nicht. Sind ja 2 verschiedene Subnetze und ich denke da hat die Firewall reingespuckt und nicht die L2 Isolation.

    Ja, vorausgesetzt, Ihr habt Eure Subnetze sauber getrennt, war es auf jeden Fall die Firewall.



    Wenn Ihr sowieso gerade alle neu machen müsst: Du verwendest noch die alte Oberfläche des Controllers, die wird vermutlich nicht mehr lange unterstützt.

    Ich würde das Setup komplett über die neue machen, damit man sich dran gewöhnt.

    In Sachen PMF habe ich im ersten Beitrag etwas durcheinander gebracht, habe die eine Aussage daher zurückgezogen.

    PMF auf "optional" sollte beim Mischbetrieb WPA2/WPA3 passen.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Networker mit diesem Beitrag zusammengefügt.

    Hi danke ja dachte ich mir.


    Und ich nutze die Neue und Alte.

    FInd die neue gut aber einige DInge sind verwirrend, besonders die Übersetzung.

    Was ich gut find die neuen Raumpläne an einer Hochschule ist das echt Hilfreich.


    Werde demnächst noch einiges Fragen über TX und Mesh. Danke sehr


    Beste Grüße

  • Nightsong

    Hat das Label von offen auf erledigt geändert.