Categorie: Draadloos

Wat is het verschil tussen de Intel Wi-Fi 6 AX201 en Intel Wi-Fi 6 AX200 driver in Windows?

Intel Wi-Fi AX201 ondersteunt geen UNII-3 kanalen in Windows 10/11 met de laatste drivers

Zowel de Intel® Wi-Fi 6 AX200 als de Intel® Wi-Fi 6 AX201 ondersteunen 2x2 Wi-Fi 6-technologie, inclusief nieuwe functies zoals:
  • Uplink/Downlink OFDMA
  • 1024QAM
  • Data rates up to 2.4 Gbps

Het belangrijkste verschil tussen de twee is dat de Intel® Wi-Fi 6 AX201 een CRF-module is die de eigen Intel-interface gebruikt en dus alleen kan worden gebruikt met bepaalde Intel-chipsets en -platforms.

Tot zover de informatie die je vanuit Intel op de website kan lezen maar nu de praktijk: https://www.intel.com/content/www/us/en/support/articles/000054819/wireless.html

Intel AX201 ondersteunt geen UNII-3 kanalen in Windows 10 / Windows 11 met de laatste Intel Windows drivers 22.160.0.4 De Intel AX200 ondersteunt daarin tegen wel de UNII-3 kanalen in Windows 10/11

De UNII-3 kanalen zijn in Nederland vrijgegeven en kunnen zonder problemen gebruikt worden. Zie ook https://en.wikipedia.org/wiki/List_of_WLAN_channels#5GHz

Hierbij het bewijs dat de Intel AX201 geen ondersteuning heeft voor UNII-3 kanalen in Windows :

(getest met WLAN-PI profiler)

---------------------------------------------
 - Client MAC: 7c:70:db:xx:xx:xx
 - OUI manufacturer lookup: Unknown
 - Capture channel: 60
---------------------------------------------
802.11k              Supported           
802.11r              Not reported*       
802.11v              Supported           
802.11w              Supported           
802.11n              Supported (2ss)     
802.11ac             Supported (2ss), SU BF not supported, MU BF not supported
802.11ax_draft       Supported (Draft)   
Max_Power            15 dBm              
Min_Power            0 dBm               
Supported_Channels   36,40,44,48,52,56,60,64,100,104,108,112,116,120,124,128,132,136,140,144

* Reported client capabilities are dependent on available features at time of client association.
** Reported channels do not factor local regulatory domain.

Intel Wi-Fi AX201 160 MHz

De volgende HP laptops zijn bij mij bekend dat ze gebruik maken van de Intel Wi-Fi AX201 chipset.

  • HP Probook 630 G8
  • HP Probook 630 G8 Notebook PC
  • HP Probook 640 G8
  • HP Probook 640 G8 Notebook PC
  • HP Probook 650 G8
  • HP Probook 650 G8 Notebook PC

Als je dezelfde Wi-Fi AX201 chipset in Ubuntu 22.04 zou testen met (bijvoorbeeld) WLAN-PI profiler dan ondersteunt Ubuntu wel alle kanalen !:

Volgens Intel WiFi 6 AX201 Test Report zou de AX201 hardware de UNII-3 kanalen wel moeten ondersteunen en dat klopt dus ook maar niet in Windows 10 of Windows 11….

Update Intel Wireless Adapters driver: 27 beveiligings problemen ontdekt

Er zijn 27 beveiligingsproblemen ontdekt in de Intel® PROSet/Wireless Wi-Fi drivers!

De volgende kwetsbaarheden zijn ontdekt:

CVEID:  CVE-2021-0162 : Improper input validation in software – may allow an unauthenticated user to potentially enable escalation of privilege via adjacent access

CVEID:  CVE-2021-0163 : Improper Validation of Consistency within input in software – may allow an unauthenticated user to potentially enable escalation of privilege via adjacent access

CVEID:  CVE-2021-0161 : Improper input validation in firmware – may allow a privileged user to potentially enable escalation of privilege via local access

CVEID:  CVE-2021-0164 : Improper access control in firmware – may allow an unauthenticated user to potentially enable  escalation of privilege via local access

CVEID:  CVE-2021-0165 : Improper input validation in firmware – may allow an unauthenticated user to potentially enable denial of service via adjacent access

CVEID:  CVE-2021-0066 : Improper input validation in firmware – may allow an unauthenticated user to potentially enable escalation of privilege via local access

CVEID:  CVE-2021-0166 : Exposure of Sensitive Information to an Unauthorized Actor in firmware – may allow a privileged user to potentially enable escalation of privilege via local access

CVEID:  CVE-2021-0167 : Improper access control in software – may allow a privileged user to potentially enable escalation of privilege via local access

CVEID:  CVE-2021-0169 : Uncontrolled Search Path Element in software – may allow a privileged user to potentially enable escalation of privilege via local access

CVEID:  CVE-2021-0168 : Improper input validation in firmware – may allow a privileged user to potentially enable escalation of privilege via local access

CVEID:  CVE-2021-0170 : Exposure of Sensitive Information to an Unauthorized Actor in firmware – may allow an authenticated user to potentially enable information disclosure via local access.

CVEID:  CVE-2021-0171 : Improper access control in software – may allow an authenticated user to potentially enable information disclosure via local access

CVEID:  CVE-2021-0172 : Improper input validation in firmware – may allow an unauthenticated user to potentially enable denial of service via adjacent access.

CVEID:  CVE-2021-0173 : Improper Validation of Consistency within input in firmware – may allow a unauthenticated user to potentially enable denial of service via adjacent access

CVEID:  CVE-2021-0174 : Improper Use of Validation Framework in firmware – may allow a unauthenticated user to potentially enable denial of service via adjacent access.

CVEID:  CVE-2021-0175 : Improper Validation of Specified Index, Position, or Offset in Input in firmware – may allow an unauthenticated user to potentially enable denial of service via adjacent access

CVEID:  CVE-2021-0076 :  Improper Validation of Specified Index, Position, or Offset in Input in firmware – may allow a privileged user to potentially enable denial of service via local access.

CVEID:  CVE-2021-0176 : Improper input validation in firmware – may allow a privileged user to potentially enable denial of service via local access.

CVEID:  CVE-2021-0177 : Improper Validation of Consistency within input in software – may allow an unauthenticated user to potentially enable denial of service via adjacent access.

CVEID:  CVE-2021-0178 : Improper input validation in software – may allow an unauthenticated user to potentially enable denial of service via adjacent access

CVEID:  CVE-2021-0179 : Improper Use of Validation Framework in software – may allow an unauthenticated user to potentially enable denial of service via adjacent access

CVEID:  CVE-2021-0183 :  Improper Validation of Specified Index, Position, or Offset in Input in software – may allow an unauthenticated user to potentially enable denial of service via adjacent access.

CVEID:  CVE-2021-0072 : Improper input validation in firmware – may allow a privileged user to potentially enable information disclosure via local access

CVEID: CVE-2021-33110 : Improper input validation –  may allow an unauthenticated user to potentially enable denial of service via adjacent access.

CVEID:  CVE-2021-33113 : Improper input validation – may allow an unauthenticated user to potentially enable denial of service or information disclosure via adjacent access.

CVEID:  CVE-2021-33115 : Improper input validation – may allow an unauthenticated user to potentially enable escalation of privilege via adjacent access

CVEID:  CVE-2021-33114 : Improper input validation – may allow an authenticated user to potentially enable denial of service via adjacent access

Getroffen producten:
Intel® PROSet/Wireless Wi-Fi-producten:

Intel® Wi-Fi 6E AX210
Intel® Wi-Fi 6 AX201
Intel® Wi-Fi 6 AX200
Intel® Wireless-AC 9560
Intel® Wireless-AC 9462
Intel® Wireless-AC 9461
Intel® Wireless-AC 9260
Intel® Dual Band Wireless-AC 8265
Intel® Dual Band Wireless-AC 8260
Intel® Dual Band Wireless-AC 3168
Intel® Wireless 7265 (Rev D) familie
Intel® Dual Band Wireless-AC 3165
Intel® AMT Wireless-producten:

Intel® Wi-Fi 6 AX210
Intel® Wi-Fi 6 AX201
Intel® Wi-Fi 6 AX200
Intel® Wireless-AC 9560
Intel® Wireless-AC 9260
Intel® Dual Band Wireless-AC 8265
Intel® Dual Band Wireless-AC 8260

Killer™ Wi-Fi-producten:

Killer™ Wi-Fi 6E AX1675
Killer™ Wi-Fi 6 AX1650
Killer™ Wireless-AC 1550

Aanbeveilingen:

Windows:

Intel raadt aan de Intel® PROSet/Wireless Wi-Fi-software bij te werken naar versie 22.80 of hoger.

https://www.intel.com/content/www/us/en/download/19351/windows-10-and-windows-11-wi-fi-drivers-for-intel-wireless-adapters.html

Intel raadt aan om de Killer™ Wi-Fi-software bij te werken naar versie 3.1021.733.0 of hoger.

https://www.intel.com/content/www/us/en/download/19779/intel-killer-performance-suite.html

bronnen :

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00539.html

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00581.html

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00582.html

Original release: 02/08/2022

OPENROAMING

openroameduroam is recent lid geworden van de Wireless Broadband Alliance. Hierdoor is het hopelijk binnenkort mogelijk om automatisch te roamen met andere Wi-Fi hotspots wereldwijd. Het idee is dat mobiele apparaten automatisch lid worden van een Wi-Fi-abonnee service wanneer de gebruiker een hotspot 2.0-gebied binnengaat.

Hotspot 2.0 (ook wel passpoint genoemd) is gebaseerd op de IEEE 802.11u-standaard, een verzameling protocollen die in 2011 is gepubliceerd om cellulair-achtige roaming mogelijk te maken. Als het apparaat 802.11u ondersteunt en een abonnement op een Hotspot 2.0-service heeft, maakt het automatisch verbinding.

eduroam heeft de grootste federatieve roaming infrastructuur:

  • 7.200 IdPs
  • 30.000 locaties
  • 106 landen

Roaming is gestandariseerd op basis van een SSID ‘eduroam’ en maakt gebruik van WPA2 enterprise. (eduroam maakt geen gebruik van WPA3, zie ook https://www.eduroam.org/2018/06/26/eduroam-and-wpa3/)

Hotspot 2.0 – HS20 – Passpoint

Openroaming kan gebruik maken van:

  • RCOI : (Roaming Consortium Organisation Identifier)
  • NAIrealm, domain, 3GPP (MNC/MCC, offloading
  • ANQP : (Access Network Query Protocol) voor discovery van netwerken (home, roaming, EAP-types)
  • WPA(2)-Enterprise, EAP

Er zijn meerdere releases met daarbij beperkte support:

R2: Online Sign-UP (OSU)

R3: Veilige ‘AUP/T&C portal

Details in RADIUS voor routering:

OpenRoaming maakt gebruik van veilige authenticatieprotocollen zoals

RadSec, EAP-Transport Layer Security (EAP-TLS), EAP-tunnel TLS (EAP-TTLS) of EAP-verificatie en sleutelovereenkomst (AKA). Al het authenticatieverkeer is TLS-versleuteld (!)

OpenRoaming netwerken zijn beveiligde netwerken en maken gebruik van Wi-Fi Protected Access (WPA) 2-Enterprise of WPA3 over-the-air encryptie, en als zodanig bieden bescherming op ondernemingsniveau, in tegenstelling tot de huidige open draadloze technologie
gastnetwerken

Dynamic peer discovery (RadSec)

eduroam en openroaming kunnen gebruik maken van ‘dynamic peer discovery’ (zie ook RFC7593)

voorbeelden :

Dynamische routering her en der in gebruik voor uitzonderingen, tussen landen:

host -t naptr zone.college
zone.college has NAPTR record 50 50 “s” “x-eduroam:radius.tls” “” _radsec._tcp.surfnet.eduroam.nl.

Delegatie:

% host -t naptr kennisnet.nl
kennisnet.nl has NAPTR record 50 50 “s” “x-eduroam:radius.tls” “” _radsec._tcp.kennisnet.eduroam.nl.

OpenRoaming:

% host -t naptr edu.nl
edu.nl has naptr record 50 50 “s” “x-eduroam:radius.tls” “” _radsec._tcp.edu.nl.
edu.nl has naptr record 50 50 “s” “aaa+auth:radius.tls.tcp” “” _radsec._tcp.openroaming.eduroam.org.

% host -t naptr zone.college
zone.college has NAPTR record 50 50 “s” “x-eduroam:radius.tls” “” _radsec._tcp.surfnet.eduroam.nl.

% host -t srv _radsec._tcp.openroaming.eduroam.org.
_radsec._tcp.openroaming.eduroam.org has SRV record 0 0 2083 openroaming1.eduroam.org.

Provisioning gaat heel belangrijk worden om de juiste configuratie(RCOI) bij de klant te kunnen installeren.

Mocht je hulp nodig hebben om gebruik te willen maken van een hotspot 2.0 netwerk of andere Wi-Fi vraagstuk neem dan contact met mij op. Ik ben op korte termijn beschikbaar en kan het gebruik van je Wi-Fi netwerk een enorme boost geven!

Optimaliseer je Wi-Fi omgeving!

Optimaliseer je Wi-Fi omgeving!

Rogue access points en tethering clients maken vaak gebruik van dezelfde frequenties en/of kanalen. Niet-802.11-apparaten bezetten de gebruikte kanalen.  Hierdoor kunnen de access-points en clients niet optimaal functioneren.

Rogue access-points zijn niet-geautoriseerde draadloze access-points waarvan aanschaf en installatie buiten de ICT om zijn gegaan en waarvoor geen expliciete toestemming is gegeven door ICT. Je kunt rogue acces-points in je panden identificeren en isoleren indien je alternatieven hebt. Daarnaast is het ook van belang dat er huisregels, reglementen of beleid is om de rogue-access-points in je panden te kunnen ‘elimineren’.

Wi-Fi Tethering is het delen van de mobiele internetverbinding van uw toestel (meestal een smartphone) met andere apparaten, zoals een tablet, laptop of computer. Ook wordt soms gesproken over het gebruik van een ‘hotspot’.

Niet-802.11-apparaten zijn: Bluetooth apparaten, magnetrons, bewegingsdetectie, draadloze camera’s, etc. Wanneer deze apparaten aanwezig zijn, kunnen ze een of meer van uw kanalen bezetten, waardoor de signaal-ruisverhouding (SNR) van de draadloze gebruiker wordt verminderd en daardoor een aanzienlijk verlies van bandbreedte veroorzaken.

Het gebruik van tethering, het plaatsen van niet beheerde access-points of aanwezigheid van genoemde storingsapparaten, heeft een negatief effect op het draadloze netwerk.

Met betrekking tot tethering en rogue access-points treden er twee problemen op:

Aan de hand van een voorbeeld maak ik duidelijk wat Adjacent Channel Congestion is:

Je luistert met je vrienden naar een concert. Achter je zit een drummer die helemaal los gaat en tegelijkertijd praten alle mensen in de zaal met elkaar, ieder in een eigen groep. Er komt zoveel geluid binnen dat het moeilijk is jouw gesprek met je vrienden voort te zetten. Wanneer jij luider begint te praten, moet de persoon naast je ook zijn stem verheffen. Je hoort dat er meerdere gesprekken plaatsvinden en je hoort de muziek van de band, maar het is onmogelijk om nog te communiceren. Dit is precies wat er gebeurt met draadloze apparaten die proberen te communiceren in een drukke omgeving.

Alle access-points horen eigenlijk uitsluitend gebruik te maken van kanaal 1,6 of 11 in de 2.4 GHz. Zodra er een andere kanaal in gebruik en/of aanwezig is anders dan 1,6 en 11 zal er ‘Adjacent Channel Congestion‘ plaatsvinden. Dit is wat het voorbeeld duidelijk maakt.

Aan de hand van een voorbeeld maak ik duidelijk wat Co-channel Interference is:

Om congestie van co-kanalen te kunnen begrijpen moeten we ons een denkbeeldig gesprek voorstellen in een klaslokaal. Denk terug aan je schooltijd – de kans is groot dat je van minstens één klas kunt bedenken dat de ene leerling langzamer praat dan de anderen. Alle anderen moeten dan op hun beurt wachten om een vraag te stellen.

Co-channel congestie werkt op een vergelijkbare manier: de prestaties worden gehinderd door de wachttijden. Elk apparaat krijgt de kans om met de bijbehorende Access-Points te praten als het aan de beurt is.

Om bovenstaande problemen binnen je beheerde Wi-Fi domein op te lossen zul je een aantal zaken moeten inregelen:

Om het rogue-access-point van derde partijen uit je beheerde Wi-Fi-omgeving te kunnen verwijderen heb je een alternatief nodig voor deze partijen.Binnen het onderwijs wordt er gebruik gemaakt van Eduroam. Dit is een besloten community waarvan commerciële partijen  geen gebruik mogen maken. (Er is weliswaar een SURFnet derden regeling maar deze is vaak onvoldoende (Zie https://www.surf.nl/surfinternet-een-snelle-betrouwbare-internetverbinding/derden-aansluiten-op-surfnet.) Je bent daarom verplicht om gebruik te maken van een andere (commerciële) internetkoppeling.

Open Wi-Fi kan een oplossing zijn voor tijdelijk internet, mits je daarnaast ook gebruik maakt van een VPN. Voor bedrijven is dit geen oplossing. Je zult naast Eduroam dan ook nog een andere Wi-Fi-oplossing moeten aanbieden. Zolang je deze oplossingen via je eigen Wi-Fi-infrastructuur kan aanbieden heb je geen last van ‘rogue-access-points’.

De ‘tethering-clients’ blijven daarentegen een behoorlijke uitdaging. Deze onwenselijke WiFi-verbindingen kunnen wel tot een minimum beperkt worden als er gebruik wordt gemaakt van MDM / portals waarin deze mogelijkheden worden afgeraden en/of via policies worden afgedwongen/verboden.

Mocht je hulp nodig hebben om zoveel mogelijk rogue access-points en/of andere storingsbronnen te identificeren en/of processen hiervoor in te willen regelen neem dan contact met mij op. Ik ben op korte termijn beschikbaar en kan je Wi-Fi netwerk een enorme boost geven!

Zie ook https://wifision.nl/mijn-aanbod/

Best practice: Aggregated Probe Response Optimizations

WiFisionAggregated Probe Response Optimizations

For large high density deployments, it is advisable to modify the default aggregate probe interval sent by access points. By default, the APs will update every 500ms about the probes sent by clients, this information is used by load balancing, band select, location and 802.11k features.

If there is a large number of clients and access points, it is advisable to modify the update interval, to prevent control plane performance issues in the WLC(!)

To change:

config advanced probe limit 50 64000

That would set it to 50 aggregated probe responses every 64 seconds.

Restriction:This should be used in most scenarios with very large count of access points and clients.

(wc-wifision) >show advanced probe

Probe request filtering…………………….. Enabled
Probes fwd to controller per client per radio…. 50
Probe request rate-limiting interval…………. 64000 msec
Aggregate Probe request interval…………….. 200 msec
Increased backoff parameters for probe respon…. Disabled

source: Cisco Wireless LAN Controller (WLC) Configuration Best Practices

De Wi-Fi Alliance heeft de eerste details van #WPA3 bekend gemaakt.

De Wi-Fi Alliance heeft de eerste details van WPA3 bekend gemaakt. De beveiligingstechniek voor Wi-Fi netwerken moet het eenvoudiger maken voor gebruikers om de beveiliging in te stellen op apparaten zonder scherm en standaard bescherming bieden bij gebruik van open netwerken.

WPA3 is standaard beveiligd tegen aanvallen zoals KRACK, biedt een eenvoudigere beveiligingsconfiguratie en voegt ook nieuwe beveiligingsmogelijkheden toe.

https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements

Voor eduroam zal het weinig impact hebben, de EAP-authenticatie blijft hetzelfde. Netwerken waar WPA1 nog aan stond (met mixed mode) zijn vanaf WPA3 verboden, maar die waren toch al uit den boze. We krijgen als extra nieuwe encryptie (192-bit), en bescherming van de management frames (nu kun je iemand zonder authenticatie disassocieren bijvoorbeeld).

(Er blijft overigens ook beperkt ontwikkeling in WPA2, en ook daar zijn opties voor management-frame protectie.)

Simultaneous Authentication of Equals (SAE)
De grootste verandering: netwerken met pre-shared-key worden veiliger (door “Simultaneous Authentication of Equals”, SAE)
SAE is bestand tegen passieve aanvallen, actieve aanvallen en “dictionary attacks”. Het biedt een veilig alternatief voor het gebruik van certificaten of wanneer een gecentraliseerde instantie niet beschikbaar is. Het is een peer-to-peer-protocol, heeft geen asymmetrie en ondersteunt gelijktijdige initiatie.

Opportunistic Wireless Encryption (OWE)
Ongeauthenticeerde netwerken zijn niet meer volledig open maar hebben nu ook encryptie (“Opportunistic Wireless Encryption”, OWE) met individuele sessie-keys. Zo zal OWE (RFC8110) bescherming bieden, ook als gebruikers zwakke wachtwoorden voor hun netwerk kiezen en er wordt dus individuele encryptie toegepast van verbindingen met open netwerken, om de privacy van de gebruiker te beschermen.

Vanaf 2020 moeten alle devices die het label “Wi-Fi Certified” willen WPA3 ondersteunen.

De impact voor eduroam is gering: we kunnen straks netwerken treffen die zowel WPA2 als WPA3 ondersteunen, met betere encryptie en management frame protectie als bonus.

Ik ben benieuwd wanneer we de eerste devices gaan zien met WPA3!

bronnen : SURFnet(eduroam-list) en Wi-Fi Alliance

#Cisco Workaround WPA2 vulnerability #krackattacks

Lezers,

Naar aanleiding van een discussie met Andrew von Nagy (WPA2 KRACK Vulnerability, Getting Information) ben ik samen met Javier Contreras Albesa er achter gekomen dat het mogelijk is om een WPA2 vulnerability workaround te implementeren in een Cisco omgeving:

“All are effectively implementation issues by allowing reuse of keystream material, meaning software patching can fix them! Of the 9 CVE’s related to clients, the most serious of them (7 of the 9, related to the 4-Way Handshake and Group Handshake) can be mitigated with AP / Infrastructure updates as a workaround, but the infrastructure won’t be able to determine if failure is from packet loss issues or attack. A few can’t be mitigated by AP patches (Peer-Key and tunneled direct link setup [TDLS]), which are peer-to-peer related vulnerabilities, but these methods of communication are rare and practically never used in my experience. The long-term fix is definitely client software patching. Patching Wi-Fi drivers can also fix 2 of the 9 client vulnerabilities…. The 1 CVE related to AP / Infrastructure is related to 802.11r Fast Transition – if you have it enabled you should patch ASAP. If not, no big deal. Many, many thanks go to Hemant Chaskar, Mojo Networks, and Pentester Academy!”

AND

“The EAPoL M3 (and M2/M4) include a MIC integrity check as well as a Key Replay Counter (KRC). The attacker cannot simply replay the initial M3 message from the Authenticator (AP) since the KRC will be the same and the client will discard it. The attack relies on the attacker MiTM AP blocking (not forwarding) the M4 frame to the AP, and the AP then retransmitting M3 with an incremented KRC and valid MIC that the client will accept, thus reinstalling the PTK and resetting the Packet Number (PN) used in the keystream generation for individual frame encryption.

So… patched APs can protect clients from these vulnerabilities if they modify their behavior to not retransmit M3.

Mocht je een Cisco Wlan-controller en Cisco access-points hebben dan kun je dus een WPA2 vulnerability client workaround  implementeren. Waarschijnlijk zal Cisco binnenkort met een Cisco Product Security Incident Response Team (PSIRT) wijziging komen om onderstaande te adviseren:

UPDATE PSIRT is zojuist vrijgegeven:

Official Workarounds WPA2 Vulnerabilities

  • Workaround for CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080 and CVE-2017-13081

Cisco Technotes: Wireless KRACK attack client side workaround and detection (Updated:October 27, 2017 Document ID:212390)

Er zijn twee mogelijkheden :

  • Wijziging van een globale instelling in alle WLAN-releases
  • Wijziging van een SSID instelling vanaf software versie 7.6

#1 Global Config:

config advanced eap eapol-key-retries 0

(CLI only option)

De eopol waarde kan worden gevalideerd met:

(5520) >show advanced eap

EAP-Identity-Request Timeout (seconds)……….. 30

EAP-Identity-Request Max Retries…………….. 2

EAP Key-Index for Dynamic WEP……………….. 0

EAP Max-Login Ignore Identity Response……….. enable

EAP-Request Timeout (seconds)……………….. 30

EAP-Request Max Retries…………………….. 2

EAPOL-Key Timeout (milliseconds)…………….. 1000

EAPOL-Key Max Retries………………………. 0

EAP-Broadcast Key Interval………………….. 3600

Je kan de wijziging per WLAN aanpassen waarmee je een meer granulaire controle toepast. Hierbij kun je een onderscheid maken per SSID. Voordeel hiervan is dat je de verandering goed kan testen per type apparaat, vooral als ze op specifieke wlans zijn gegroepeerd.  Deze work-around is beschikbaar vanaf software versie  7.6

#2 Per WLAN Config:

X=WLAN ID

config wlan security eap-params enable X

config wlan security eap-params eapol-key-retries 0 X

De meeste wlan-clients zullen blijven werken maar er zijn twee scenario’s bekend waardoor er een mogelijkheid bestaat dat (oude) clients problemen gaan ervaren:

  • “Clients which are slow or may drop initial processing of EAPoL M1. This is seen on some small/slow clients, which may receive the M1, and not be ready to process it after the dot1x authentication phase, or do slower
  • Scenarios with bad RF, or WAN connections between AP and WLC, that may cause a packet drop at some point on transmission towards client.

In both, the outcome would be that an EAPoL exchange failure will be reported, and client will be deauthenticated, it will have to restart association/authentication processes

To lower probabilities for this issue, a longer timeout should be used (1000 msec), to give time for slow clients to respond. The default is 1000 msec(!), but could have been set lower by customer on some scenarios.

Advies gebruik van Intel Wireless Adapters, bepalen juiste drivers en protocollen.

Lezers,

Op 16 oktober publiceerden Mathy Vanhoef en Frank Piessens van de Universiteit van Leuven een document waarin een reeks kwetsbaarheden wordt beschreven die de Wi-Fi Protected Access (WPA) en de Wi-Fi Protected Access II (WPA2) protocollen beïnvloeden.

Dit zijn kwetsbaarheden op protocolniveau van draadloze leveranciers en draadloze clients(adapters) die de huidige WPA- en WPA2-specificaties volgen. Deze kwetsbaarheden werden ook aangeduid als “KRACK” (Key Reinstallation AttaCK) en de details werden gepubliceerd op: https://www.krackattacks.com

De meeste wlan client adapters moeten worden geupdate om de ‘supplicant‘ te voorzien van een beveiligings update: Er zijn 10 beveiligingslekken ontdekt waarvan Intel er inmiddels twee heeft geidentificeerd en gerepareerd. De overige lekken moeten in het Operating Systeem(bv Windows) en/of door de draadloze leveranciers gerepareerd worden:

 

 

 

Intel adapter-driver fix : CVE-2017-13081 &  CVE-2017-13080

Wi-Fi Protected Access (WPA) and Wi-Fi Protected Access II (WPA2) protocols – integrity group key reinstallation during the group key handshake vulnerability : CVE ID: CVE-2017-13081

A vulnerability in the processing of the 802.11i group key handshake messages of the WPA and WPA2 protocols could allow an unauthenticated, adjacent attacker to force a supplicant to reinstall a previously used integrity group key.

The vulnerability is due to ambiguities in the processing of associated protocol messages. An attacker could exploit this vulnerability by establishing a man-in-the-middle position between supplicant and authenticator and retransmitting previously used message exchanges between supplicant and authenticator.

Wi-Fi Protected Access (WPA) and Wi-Fi Protected Access II (WPA2) protocols – group key reinstallation during the group key handshake vulnerability : CVE ID: CVE-2017-13080

A vulnerability in the processing of the 802.11i group key handshake messages of the WPA and WPA2 protocols could allow an unauthenticated, adjacent attacker to force a supplicant to reinstall a previously used group key. 

The vulnerability is due to ambiguities in the processing of associated protocol messages. An attacker could exploit this vulnerability by establishing a man-in-the-middle position between supplicant and authenticator and retransmitting previously used message exchanges between supplicant and authenticator.

Intel heeft voor de volgende Intel Wlan-adapters een update uitgebracht:

  • Intel® Dual Band Wireless-AC 3160
  • Intel® Dual Band Wireless-AC 3165
  • Intel® Dual Band Wireless-AC 3168
  • Intel® Dual Band Wireless-AC 7260
  • Intel® Dual Band Wireless-AC 7265
  • Intel® Dual Band Wireless-AC 8260/8265/9260

PROSet/Wireless Software and Driversversion 20.0.2 for Windows 7, Windows 8.1 and Windows 10:

  • WiFi_20.0.2_PROSet32_Win7.exe (32-bit)
  • WiFi_20.0.2_PROSet64_Win7.exe (64-bit)
  • WiFi_20.0.2_PROSet32_Win8.1.exe (32bit)
  • WiFi_20.0.2_PROSet64_Win8.1.exe (64bit)
  • WiFi_20.0.2_PROSet64_Win10.exe
  • WiFi_20.0.2_PROSet32_Win10.exe

Driver version = 19.10.9.2 for Windows 7 for 18265, 8265, 3168, 18260, 8260, 17265 and 3165.
Driver version = 18.33.9.3 for Windows 7 for 7265, 7260, and 3160

Intel® PROSet/Wireless Software and Drivers for Windows 7

Driver version = 19.10.9.2 for Windows 8.1 for 18265, 8265, 3168, 18260, 8260, 17265, and 3165.
Driver version = 18.33.9.3 for Windows 8.1 for 7265, 7260, and 3160.

Intel® PROSet/Wireless Software and Drivers for Windows 8.1

Driver version = 20.0.2.3 for Windows 10 for 18265, 8265, 18260, 8260.
Driver version = 19.51.7.2 for Windows 10 for 3168, 3165, and 17265.
Driver version = 18.33.9.3 for Windows 10 for 7265, 3160, and 7260.

Intel® PROSet/Wireless Software and Drivers for Windows® 10

Er is ook een ‘driver only’ version beschikbaar :

  • Windows 10 32-bit: WiFi_20.0.2_Driver32_Win10.zip
  • Windows 10 64-bit: WiFi_20.0.2_Driver64_Win10.zip
  • Windows 8.1 32-bit: WiFi_20.0.2_Driver32_Win8.1.zip
  • Windows 8.1 64-bit: WiFi_20.0.2_Driver64_Win8.1.zip
  • Windows 7 32-bit: WiFi_20.0.2_Driver32_Win7.zip
  • Windows 7 64-bit: WiFi_20.0.2_Driver64_Win7.zip

Intel® PROSet/Wireless Software and Drivers for IT Admins

 

Bron INTEL-SA-00101 : https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00101&languageid=en-fr 

Daarnaast is het belangrijk om te weten dat de volgende Intel Wlan Adapters niet meer worden ondersteund. Hier komen dus ook geen beveiligingsupdates meer voor beschikbaar(!):

Product Name Effective Date
Intel® My WiFi Dashboard
August 14, 2017
Intel® Centrino® Advanced-N + WiMAX 6250
September 16, 2016
Intel® Centrino® Wireless-N + WiMAX6150
September 16, 2016
Intel® Centrino® Wireless-N 2200
September 16, 2016
Intel® Centrino® Advanced-N 6230
September 16, 2016
Intel® Centrino® Advanced-N 6200
September 16, 2016
Intel® Centrino® Wireless-N 130
September 16, 2016
Intel® Centrino® Wireless-N 100
September 16, 2016
Intel® Centrino® Wireless-N 1030
September 16, 2016
Intel® Centrino® Wireless-N 1000
September 16, 2016
Intel® WiFi Link 5300
June 1, 2016
Intel® WiFi Link 5100
June 1, 2016
Intel® WiMAX/WiFi Link 5350
June 1, 2016
Intel® WiMAX/WiFi Link 5150
June 1, 2016
Intel® Wireless WiFi Link 4965AGN
December 31, 2013
Intel® Pro/Wireless 3945ABG
December 31, 2013
Intel® Pro/Wireless 2915ABG
December 31, 2009
Intel® Pro/Wireless 2200BG
December 31, 2009

Bron Customer Support Options for Discontinued Intel® Wireless Products : https://www.intel.com/content/www/us/en/support/articles/000006507/network-and-i-o/wireless-networking.html

Windows® 10 ondersteunt industriële standaardprotocollen zoals 802.11r, 802.11k en 802.11v.(Apple ondersteunt ook deze standaarden)

Onderstaande tabel toont de Intel® Wireless Adapters en protocollen.

Product 802.11k 802.11v 802.11r
Intel® Tri-Band Wireless-AC 18265 Yes Yes Yes
Intel® Dual Band Wireless-AC 8265 Yes Yes Yes
Intel® Tri-Band Wireless-AC 18260 Yes Yes Yes
Intel® Tri-Band Wireless-AC 17265 Yes Yes Yes
Intel® Dual Band Wireless-AC 8260 Yes Yes Yes
Intel® Dual Band Wireless-AC 3168 Yes Yes Yes
Intel® Dual Band Wireless-AC 3165 Yes Yes Yes
Intel® Dual Band Wireless-AC 7265 Yes Yes Yes
Intel® Dual Band Wireless-N 7265 Yes Yes Yes
Intel® Wireless-N 7265 Yes Yes Yes
Intel® Dual Band Wireless-AC 3160 No No No
Intel® Dual Band Wireless-AC 7260 No No No
Intel® Dual Band Wireless-N 7260 No No No
Intel® Wireless-N 7260 No No No

Bron Windows® 10 and Supported Intel® Wireless Adapter Protocols : https://www.intel.com/content/www/us/en/support/articles/000021562/network-and-i-o/wireless-networking.html 

#SecureW2 has a Wi-Fi workaround for Windows 10 Creators Update

As Windows 10 Creators Update notices to upgrade are being rolled out to devices please be advised of important changes to supporting these devices.
If you’ve deployed (SecureW2) JoinNow MultiOS to Windows devices by default, Wi-Fi settings are installed onto the device using a user profile vs. a system profile. With Windows 10 Build version and higher the ability to input Wi-Fi settings via a user profile will fail and user specific data is not saved. The Microsoft EAP team is aware of this bug but until a fix is made devices will not connect using user profiles. SecureW2 has made timely changes to detect this issue and configure and connect the device by utilizing a system profile until such time Microsoft can fix the issue.
The drawback of system profiles is that changes to security settings in the profile can be edited by others sharing the device. Since the vast majority of BYOD devices are not shared devices this should not impact most customers. The best practice however is still to utilize user profiles whenever possible.
In order to support Windows 10 Creators Update, it is important that customers republish and update their SecureW2 software to release 5.2.0 GA3 or greater. Please contact the SecureW2 support team if you have further questions or need assistance.
bron : SecureW2

Netwerkbeheerder (1,0 fte) – beheerder van de #UvA #HvA draadloze netwerk infrastructuur.

Power-Spectral-DensityDe Hogeschool van Amsterdam (HvA) is voor ICTS op zoek naar een:

Netwerkbeheerder (1,0 fte)

De functie

Binnen ICT Services (ICTS) ben je verantwoordelijk voor een van de grootste draadloze netwerken van Nederland met 3100 access points verdeeld over 6 controllers.(HA) Het draadloos netwerk bedient op het drukste moment van de dag 32.000 gelijktijdige verbindingen. Je primaire verantwoordelijkheid ligt bij het dagelijks beheer, life cycle en vernieuwing van het draadloos netwerk. Het draadloos netwerk is van een hoog niveau en ICTS streeft ernaar het netwerk up-to-date te houden met de nieuwste technieken.

Buiten het dagelijks beheer ben je verantwoordelijk voor de life cycle/vernieuwing van het draadloos netwerk. We verwachten van jou als netwerkbeheerder dat je op de hoogte bent van nieuwe ontwikkelingen op draadloos gebied. Samen met je collega’s ontwikkel je strategieën voor de implementatie van nieuwe technieken. Nieuwe technieken kunnen in pilotvorm worden uitgewerkt samen met de vendor van de apparatuur waarin jij de lead neemt in de uitwerking van de pilot. Dit houdt in dat je contact onderhoudt met de betrokken partijen en het coördineren van de werkzaamheden die uitgevoerd moeten worden.

Vraagstukken vanuit onderzoek en onderwijs behoren tot de werkzaamheden. Hieronder valt het ondersteunen van evenementen met een draadloos netwerk tot draadloze implementaties voor onderwijstoepassingen. Beveiliging op het draadloos netwerk is onderdeel van het beheer. Beveiligingsmaatregelen vanuit het beveiligingsbeleid en de beveiligingsbaseline vertaal je door naar concrete voorstellen. In overleg met de consultant draadloze netwerken plan je de werkzaamheden en doe je de kwaliteit checks op het geleverde werk.

Naast het beheer van de draadloze netwerk infrastructuur ben je ook verantwoordelijk voor het authenticatie mechanisme (802.1x) met Radius. Hier coördineer je de wijzigingen die gedaan moeten worden en voert deze waar nodig uit in het change window.

Wij zoeken

Je beschikt over een afgeronde relevante hbo-opleiding (informatica, SNE, etc.). Je werkt in een team van 19 medewerkers en bent in staat je collega’s te overtuigen van uitgedachte concepten maar staat ook open voor de mening en inzichten van anderen. Tevens ben je een stevige gesprekspartner voor de organisatie. De aanvragen die vanuit de organisatie komen kun je goed beoordelen en vertalen naar een technische oplossing. Zowel schriftelijk als mondeling ben je in staat duidelijke adviezen te geven over mogelijkheden en onmogelijkheden van een oplossing.

Je kunt je goed verplaatsen in het belang van de organisatie. Door de ervaring die je hebt kan de organisatie je niet meer verrassen met complexe vragen.

De afdeling

Binnen ICTS zijn drie divisies: Vernieuwing, Klant en Beheer. Netwerkbeheer is een van de vijf afdelingen binnen de divisie Beheer en bestaat uit 19 medewerkers. Netwerkbeheer beheert 3 datacenters: (draadloos)netwerk infrastructuur voor +/-70 panden, telefonie(VOIP) en de glasvezelverbindingen tussen de panden en de 4 campussen van de HvA en UvA. Binnen het team Netwerkbeheer zijn verschillende disciplines: Vast netwerkbeheer, Draadloos netwerkbeheer, telecom, 2de- en 3de lijnsupport en consultancy.

Wij bieden

Een tijdelijke aanstelling voor de periode van een jaar met de mogelijkheid tot een vaste aanstelling. De werkzaamheden maken deel uit van de functie Beheerder ICT 2. De bij deze functie behorende loonschaal is 10 (cao hbo). Het salaris bedraagt maximaal € 3.994,- bruto per maand bij een volledige aanstelling en is afhankelijk van opleiding en ervaring.

De HvA heeft een uitgebreid pakket secundaire arbeidsvoorwaarden, waaronder een ruime vakantieregeling en een 13e maand. Daarnaast biedt de HvA (via de HvA Academie) uitstekende studie- en ontwikkelingsmogelijkheden en stimuleert medewerkers om zich blijvend te professionaliseren.

Informatie

Nadere informatie: Richard Smit, Afdelingshoofd Netwerkbeheer, e-mail: r.smit@hva.nl, tel. 06-51299223 (niet gebruiken om te solliciteren).

De sollicitatiegesprekken vinden plaats op de Leeuwenburg, Weesperzijde 190 te Amsterdam.

Kijk bij medewerkers aan het woord hoe onze collega’s denken over werken bij de HvA.

Sollicitaties

Klik op de link onderaan deze vacature om online te solliciteren. Sollicitaties die rechtstreeks naar de contactpersoon of op een andere wijze worden verstuurd, worden niet verwerkt.

Deze vacature is gelijktijdig in- en extern gepubliceerd. Bij gelijke geschiktheid hebben interne kandidaten voorrang op externe kandidaten.

Meer informatie over de sollicitatieprocedure is te vinden op onze website WerkenbijdeHvA.

Bij de werving en selectie ter invulling van deze vacature, houden wij de HvA Sollicitatiecode aan.
Acquisitie naar aanleiding van deze vacature wordt niet op prijs gesteld.

Sluitingsdatum: 26-1-2017

Klik hier om te solliciteren