Advies gebruik van Intel Wireless Adapters, bepalen juiste drivers en protocollen.

Lezers,

Op 16 oktober publiceerden Mathy Vanhoef en Frank Piessens van de Universiteit van Leuven een document waarin een reeks kwetsbaarheden wordt beschreven die de Wi-Fi Protected Access (WPA) en de Wi-Fi Protected Access II (WPA2) protocollen beïnvloeden.

Dit zijn kwetsbaarheden op protocolniveau van draadloze leveranciers en draadloze clients(adapters) die de huidige WPA- en WPA2-specificaties volgen. Deze kwetsbaarheden werden ook aangeduid als “KRACK” (Key Reinstallation AttaCK) en de details werden gepubliceerd op: https://www.krackattacks.com

De meeste wlan client adapters moeten worden geupdate om de ‘supplicant‘ te voorzien van een beveiligings update: Er zijn 10 beveiligingslekken ontdekt waarvan Intel er inmiddels twee heeft geidentificeerd en gerepareerd. De overige lekken moeten in het Operating Systeem(bv Windows) en/of door de draadloze leveranciers gerepareerd worden:

Intel adapter-driver fix : CVE-2017-13081 & CVE-2017-13080

Wi-Fi Protected Access (WPA) and Wi-Fi Protected Access II (WPA2) protocols – integrity group key reinstallation during the group key handshake vulnerability : CVE ID: CVE-2017-13081

A vulnerability in the processing of the 802.11i group key handshake messages of the WPA and WPA2 protocols could allow an unauthenticated, adjacent attacker to force a supplicant to reinstall a previously used integrity group key.

The vulnerability is due to ambiguities in the processing of associated protocol messages. An attacker could exploit this vulnerability by establishing a man-in-the-middle position between supplicant and authenticator and retransmitting previously used message exchanges between supplicant and authenticator.

Wi-Fi Protected Access (WPA) and Wi-Fi Protected Access II (WPA2) protocols – group key reinstallation during the group key handshake vulnerability : CVE ID: CVE-2017-13080

Intel heeft voor de volgende Intel Wlan-adapters een update uitgebracht:

Intel® Dual Band Wireless-AC 3160
Intel® Dual Band Wireless-AC 3165
Intel® Dual Band Wireless-AC 3168
Intel® Dual Band Wireless-AC 7260
Intel® Dual Band Wireless-AC 7265
Intel® Dual Band Wireless-AC 8260/8265/9260

PROSet/Wireless Software and Driversversion 20.0.2 for Windows 7, Windows 8.1 and Windows 10:

WiFi_20.0.2_PROSet32_Win7.exe (32-bit)
WiFi_20.0.2_PROSet64_Win7.exe (64-bit)
WiFi_20.0.2_PROSet32_Win8.1.exe (32bit)
WiFi_20.0.2_PROSet64_Win8.1.exe (64bit)
WiFi_20.0.2_PROSet64_Win10.exe
WiFi_20.0.2_PROSet32_Win10.exe

Driver version = 19.10.9.2 for Windows 7 for 18265, 8265, 3168, 18260, 8260, 17265 and 3165.
Driver version = 18.33.9.3 for Windows 7 for 7265, 7260, and 3160

Intel® PROSet/Wireless Software and Drivers for Windows 7

Driver version = 19.10.9.2 for Windows 8.1 for 18265, 8265, 3168, 18260, 8260, 17265, and 3165.
Driver version = 18.33.9.3 for Windows 8.1 for 7265, 7260, and 3160.

Intel® PROSet/Wireless Software and Drivers for Windows 8.1

Driver version = 20.0.2.3 for Windows 10 for 18265, 8265, 18260, 8260.
Driver version = 19.51.7.2 for Windows 10 for 3168, 3165, and 17265.
Driver version = 18.33.9.3 for Windows 10 for 7265, 3160, and 7260.

Intel® PROSet/Wireless Software and Drivers for Windows® 10

Er is ook een ‘driver only’ version beschikbaar :

Windows 10 32-bit: WiFi_20.0.2_Driver32_Win10.zip
Windows 10 64-bit: WiFi_20.0.2_Driver64_Win10.zip
Windows 8.1 32-bit: WiFi_20.0.2_Driver32_Win8.1.zip
Windows 8.1 64-bit: WiFi_20.0.2_Driver64_Win8.1.zip
Windows 7 32-bit: WiFi_20.0.2_Driver32_Win7.zip
Windows 7 64-bit: WiFi_20.0.2_Driver64_Win7.zip

Intel® PROSet/Wireless Software and Drivers for IT Admins

Bron INTEL-SA-00101 : https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00101&languageid=en-fr

Daarnaast is het belangrijk om te weten dat de volgende Intel Wlan Adapters niet meer worden ondersteund. Hier komen dus ook geen beveiligingsupdates meer voor beschikbaar(!):

Product Name	Effective Date
Intel® My WiFi Dashboard	August 14, 2017
Intel® Centrino® Advanced-N + WiMAX 6250	September 16, 2016
Intel® Centrino® Wireless-N + WiMAX6150	September 16, 2016
Intel® Centrino® Wireless-N 2200	September 16, 2016
Intel® Centrino® Advanced-N 6230	September 16, 2016
Intel® Centrino® Advanced-N 6200	September 16, 2016
Intel® Centrino® Wireless-N 130	September 16, 2016
Intel® Centrino® Wireless-N 100	September 16, 2016
Intel® Centrino® Wireless-N 1030	September 16, 2016
Intel® Centrino® Wireless-N 1000	September 16, 2016
Intel® WiFi Link 5300	June 1, 2016
Intel® WiFi Link 5100	June 1, 2016
Intel® WiMAX/WiFi Link 5350	June 1, 2016
Intel® WiMAX/WiFi Link 5150	June 1, 2016
Intel® Wireless WiFi Link 4965AGN	December 31, 2013
Intel® Pro/Wireless 3945ABG	December 31, 2013
Intel® Pro/Wireless 2915ABG	December 31, 2009
Intel® Pro/Wireless 2200BG	December 31, 2009

Bron Customer Support Options for Discontinued Intel® Wireless Products : https://www.intel.com/content/www/us/en/support/articles/000006507/network-and-i-o/wireless-networking.html

Windows® 10 ondersteunt industriële standaardprotocollen zoals 802.11r, 802.11k en 802.11v.(Apple ondersteunt ook deze standaarden)

Onderstaande tabel toont de Intel® Wireless Adapters en protocollen.

Product	802.11k	802.11v	802.11r
Intel® Tri-Band Wireless-AC 18265	Yes	Yes	Yes
Intel® Dual Band Wireless-AC 8265	Yes	Yes	Yes
Intel® Tri-Band Wireless-AC 18260	Yes	Yes	Yes
Intel® Tri-Band Wireless-AC 17265	Yes	Yes	Yes
Intel® Dual Band Wireless-AC 8260	Yes	Yes	Yes
Intel® Dual Band Wireless-AC 3168	Yes	Yes	Yes
Intel® Dual Band Wireless-AC 3165	Yes	Yes	Yes
Intel® Dual Band Wireless-AC 7265	Yes	Yes	Yes
Intel® Dual Band Wireless-N 7265	Yes	Yes	Yes
Intel® Wireless-N 7265	Yes	Yes	Yes
Intel® Dual Band Wireless-AC 3160	No	No	No
Intel® Dual Band Wireless-AC 7260	No	No	No
Intel® Dual Band Wireless-N 7260	No	No	No
Intel® Wireless-N 7260	No	No	No

Bron Windows® 10 and Supported Intel® Wireless Adapter Protocols : https://www.intel.com/content/www/us/en/support/articles/000021562/network-and-i-o/wireless-networking.html

#SecureW2 has a Wi-Fi workaround for Windows 10 Creators Update

As Windows 10 Creators Update notices to upgrade are being rolled out to devices please be advised of important changes to supporting these devices.

If you’ve deployed (SecureW2) JoinNow MultiOS to Windows devices by default, Wi-Fi settings are installed onto the device using a user profile vs. a system profile. With Windows 10 Build version and higher the ability to input Wi-Fi settings via a user profile will fail and user specific data is not saved. The Microsoft EAP team is aware of this bug but until a fix is made devices will not connect using user profiles. SecureW2 has made timely changes to detect this issue and configure and connect the device by utilizing a system profile until such time Microsoft can fix the issue.

The drawback of system profiles is that changes to security settings in the profile can be edited by others sharing the device. Since the vast majority of BYOD devices are not shared devices this should not impact most customers. The best practice however is still to utilize user profiles whenever possible.

In order to support Windows 10 Creators Update, it is important that customers republish and update their SecureW2 software to release 5.2.0 GA3 or greater. Please contact the SecureW2 support team if you have further questions or need assistance.

bron : SecureW2

De eerste stap naar Amsterdam Open Wi-Fi: #uva #hva

In deze blog wordt geschetst wat de service Open Wi-Fi is bij de UvA en HvA.

Gebruiker perspectief

Buiten onze instellingen wordt op diverse plaatsen Open Wi-Fi aangeboden, bijvoorbeeld op een station, in de trein, bij McDonalds. Een gebruiker kan daar op een eenvoudige manier “draadloos het Internet op”.

Dat houdt in dat de gebruiker met een Wi-Fi geschikt apparaat ter plaatse een Open Wi-Fi netwerk detecteert, dat selecteert, in een web browser nog iets van voorwaarden accepteert, verbinding maakt en voilà “draadloos Internet heeft”.

Op diverse plaatsen binnen de HvA, de UvA en ook bij diverse andere onderwijs en onderzoek instellingen in het Science Park gaan we dat ook bieden.

Dit Open Wi-Fi, zulk “draadloos Internet”, is wel even wat anders dan ons reguliere beveiligde draadloos netwerk (SSID = hva, uva, eduroam):

Het is “Open”. Op het “captive portal” van het betreffende netwerk wordt daar op gewezen:

Gebruik voor het versturen van privacygevoelige informatie zoals wachtwoorden, bank- of creditgegevens een beveiligd netwerk.

De bandbreedte is beperkt. Voor elke gebruiker wordt de up-(1 Mb) en download(5 Mb) snelheid beperkt.
Open SSID wordt alleen op 2,4 GHz uitgezonden.(4 kanalen)
De sessie wordt beperkt.(Idle timeout 30 minuten, max. 8 uur)
Het ligt buiten het HvAnet en het UvAnet. Er is dus geen korte route naar HvA of UvA informatie systemen. Men benadert die vanuit de grote boze buitenwereld.
Er wordt gewerkt met dynamisch toegewezen “private space” IP adressen, NAT, PAT (zie wikipedia) en dergelijke. De verbinding is dus minder transparant. De meeste maar niet alle toepassingen zullen goed werken.

Het netwerk wordt door Datadigest aangeboden, op verzoek van de UvA. Het is een open wifi-netwerk waarvan bezoekers zonder registratie of wachtwoord gebruik kunnen maken.

Bent u student of medewerker van de UvA of van en andere onderwijs-of onderzoeksinstelling? Gebruik dan het beveiligde netwerk eduroam, uva of hva. Maakt u voor het eerst verbinding hiermee? Installeer eenmalig de software(instellingen) via https://wifiportal.uva.nl

Waarom?

De netwerken van onderwijs en onderzoek instellingen zijn besloten netwerken waarvan alleen medewerkers, studenten, leerlingen en met naam bekende gasten (van medewerkers) gebruik mogen maken. Dat heeft te maken met de gebruiksvoorwaarden van het eigen netwerk en met de aansluitvoorwaarden van SURFnet.

Medewerkers , studenten, leerlingen kunnen met hun instelling gebonden digitale identiteit gewoon van het netwerk van de instelling gebruik maken.

Voor gasten kunnen medewerkers een tijdelijk “eduroam Visitor Access (eVA)” account aanmaken waarmee een gast van het draadloos beveiligde netwerk eduroam gebruik kan maken. Dat vereist dus registratie van de gast. Dat vereist ook inrichting van de apparatuur van de gast. Beide zijn voor sommige gasten en sponsoren een drempel.

Bij evenementen, zoals een congres of een open dag, hebben we soms grote groepen gasten. eVA voorziet daarin maar de registratie, of de SMS zelfbediening en de vereiste inrichting vormen dan een drempel. Diverse klanten willen, met verwijzing naar andere organisaties zoals McDonalds , bij evenementen die drempel zo laag mogelijk hebben.

Ook zijn er in het onderwijs en onderzoek toepassingen die niet met de authenticatie van ons besloten draadloos netwerk kunnen omgaan. Regelmatig word ICTS gevraagd om daarvoor een speciaal netwerk in te richten. Eigenlijk kan dat volgens de aansluitvoorwaarden niet. Het verlenen van ontheffing, al dan niet in overleg met SURFnet, en ook de technische inrichting van zo’n netwerk is telkens maatwerk.

In onze panden huizen ook partijen (gelieerde of derden) die om voor hen motiverende redenen aan hun “klanten” een Wi-Fi netwerk willen bieden. Maar in onze panden doen wij dat al. Beide netwerk hebben invloed op elkaar. Anders gezegd, ons draadloos netwerk wordt gestoord door die andere netwerken. Met UvA Open Wi-Fi is de noodzaak van zo’n Wi-Fi netwerk binnen onze panden tot een minimaal beperkt.

Hoe?

Op ons besloten netwerk mogen wij geen Open Wi-Fi bieden. Voor meer informatie daarover zie https://www.surf.nl/kennis-en-innovatie/innovatieprojecten/startdatum-2012/draadvrij/wifi-op-de-campus-met-eduroam/openbare-wifi-netwerken-op-de-campus/index.html.

Daarom doen wij het niet, … maar laten we het een ander doen. We maken daarover afspraken met een derde partij die wel, in overeenstemming met wet- en regelgeving, een Open Wi-Fi netwerk mag aanbieden.

Die derde partij gaat geen draadloos netwerk in onze panden aanleggen. Dat deel van de benodigde voorzieningen brengen wij in. Zo houden wij greep op ons draadloos netwerk en daarmee de kwaliteit daarvan. Die derde partij biedt het “captive portal” en sluist het Open Wi-Fi verkeer van ons draadloos netwerk linea recta naar “het Internet”.