Berichten

Wi-Fi Alliance kondigt WPA3-encryptieprotocol aan

Het WPA2-protocol beschermt al meer dan een decennium het overgrote deel van de Wi-Fi netwerken. Lange tijd voldeed dit meer dan prima, maar vorig jaar is er door een Belgische beveiligingsonderzoeker een lek in het protocol gevonden, genaamd KRACK. Vorig jaar is dit specifieke lek in WPA2 op veel apparaten met een patch gedicht, maar voor veel oude apparaten blijft het een risico en ook bij nieuwe apparaten moet er rekening mee gehouden worden.

De Wi-Fi Alliance heeft nu de opvolger van het 14 jaar oude protocol aangekondigd. WPA3 voorkomt niet alleen fout in de handshake maar brengt gelijk een aantal andere beveiligingsverbeteringen met zich mee. Zo moet op open netwerken de data van gebruikers beter beveiligd worden door standaard encryptie toe te passen.

Netwerken die gebruik maken van korte wachtwoorden zijn beter beveiligd (maar nog steeds zijn korte wachtwoorden niet aangeraden) door de mogelijkheden op een brute-force aanval in te perken. Apparaten zonder visuele interface, zoals lampen, thermostaten en andere IoT-devices, kunnen beter beveiligd worden door via een smartphone beveiligingsinstellingen aan te passen.

Begin 2018 moet de WPA3-standaard definitief zijn en de officiële certificatie van start gaan.

Bron: Hardware.Info

Nieuwe Ruckus Software Release biedt oplossing voor bug in Ruckus Unleashed 200.5.10.0.283_GA_Krack firmware


Ruckus heeft een nieuwe firmware beschikbaar gesteld die een oplossing biedt voor de gevonden bug in de Ruckus Unleashed 200.5.10.0.283_GA_Krack firmware. In de eerder verschenen firmware update voor uw Ruckus Unleashed Access Points, werd een bug aangetroffen die betrekking had op de werking van uw gastennetwerk en de daarbij behorende portal. De nieuwe Ruckus Unleashed 200.5.10.0.291 software release verhelpt dit probleem.

Probleem in versie 200.5.10.0.283
Een korte herhaling van het probleem dat ontstond na het installeren van versie 200.5.10.283:

In de oude versie werd de captive portal pagina gehost op het IP adres van het master AP van het Unleashed cluster. Indien u uw gastennetwerk voorziet van een VLAN ID om het gastenverkeer te scheiden van het control- en management verkeer, en uw firewall staat de routering tussen beide netwerken niet toe, dan kunt u met de voorgaande versies probleemloos gebruik maken van de interne portal van de Ruckus Unleashed APs. De redirect naar de gastenportal werd in de voorgaande firmware versies al op het AP uitgevoerd en de gateway/firewall werd hiervoor niet gebruikt.

Echter, na het installeren van versie 200.5.10.0.283 werkt deze functie niet meer. De redirect naar het IP adres van het master AP word niet langer op het AP ondervangen. Doordat een gast een IP adres uit een ander subnet ontvangt dan die van het cluster management VLAN, zal het verzoek naar de default gateway (uw firewall) van het subnet gestuurd worden. Omdat deze geen routering naar dit subnet toestaat, zal de portal na een upgrade van de firmware onbereikbaar zijn voor clients die verbonden zijn met het gastennetwerk.

Nieuwe software release
Eerder adviseerden wij een downgrade naar een oudere firmware versie uit te voeren indien u firmware 200.5.10.0.283 al had geïnstalleerd. Nu is er een nieuwe firmware die een oplossing biedt voor de bovengenoemde bug. De nieuwe firmware is te downloaden via de support site van Ruckus. Hier vindt u ook de release notes.

Onze supportafdeling helpt u graag verder indien u nog vragen heeft. Alcadis support is bereikbaar via support@alcadis.nl of telefonisch op werkdagen van 09.00 uur tot 13.00 uur op 030 – 220 99 31.

Bug Ruckus Unleashed 200.5.10.0.283_GA_Krack firmware

In de recent verschenen firmware update voor uw Ruckus Unleashed Access Points, is een bug aanwezig die betrekking heeft op de werking van uw gastennetwerk en de daarbij behorende portal. Graag willen wij u op het volgende attenderen.

Oude situatie
De captive portal pagina wordt in de oude situatie gehost op het IP adres van het master AP van het Unleashed cluster. Indien u uw gastennetwerk voorziet van een VLAN ID om het gastenverkeer te scheiden van het control- en management verkeer, en uw firewall staat de routering tussen beide netwerken niet toe, dan kunt u met de voorgaande versies probleemloos gebruik maken van de interne portal van de Ruckus Unleashed APs. De redirect naar de gastenportal werd in de voorgaande firmware versies al op het AP uitgevoerd en de gateway/firewall werd hiervoor niet gebruikt.

Nieuwe situatie
Met het verschijnen van de meest recente firmware versie 200.5.10.0.283, werkt deze functie niet meer. De redirect naar het IP adres van het master AP wordt niet langer op het AP ondervangen. Doordat een gast een IP adres uit een ander subnet ontvangt dan die van het cluster management VLAN, zal het verzoek naar de default gateway (uw firewall) van het subnet gestuurd worden. Omdat deze geen routering naar dit subnet toestaat, zal de portal na een upgrade van de firmware onbereikbaar zijn voor clients die verbonden zijn met het gastennetwerk.

Ons advies
Als workaround zou het IP adres van het Master AP toegestaan moeten worden in minimaal een layer 3 ACL van de firewall. Aangezien ieder AP in het cluster de rol van master AP op zich kan nemen bij een netwerkstoring, zou dit betekenen dat alle IP adressen van de APs binnen het cluster uitgezonderd moeten worden.

Indien u gebruik maakt van een dergelijke constructie voor uw gastennetwerk, is ons advies om deze upgrade voorlopig niet te installeren. Mocht u de upgrade reeds hebben geïnstalleerd, dan adviseren wij u om een downgrade uit te voeren naar een vorige firmware versie. Alcadis support kan u eventueel adviseren hoe u deze downgrade kunt uitvoeren.

Ruckus support
Ruckus is momenteel op de hoogte van deze bug in de nieuwe firmware en het engineeringsteam werkt aan een oplossing. Wanneer hier meer over bekend is communiceren wij dit uiteraard met u.

Onze supportafdeling is bereikbaar via support@alcadis.nl of telefonisch op werkdagen van 09.00 uur tot 13.00 uur op 030- 220 99 31.

(Update) Lek in Wi-Fi beveiliging WPA2 – KRACK

De media staan er vol mee, er is een beveiligingslek in het WPA2 wireless protocol genaamd KRACK. Hiermee kunnen aanvallers via de draadloze verbinding meekijken met het internetgebruik en mogelijk malware installeren.

KRACK
Een Belgische onderzoeker heeft dit lek blootgelegd. KRACK staat voor ‘Key Reinstallation Attack’ en maakt gebruik van een ontwerpfout in de cryptografische protocollen door een reeds gebruikte sleutel opnieuw te installeren. Kortom de manier waarop een apparaat een ‘sleutel’ uitwisselt met een Wi-Fi verbinding.

Doordat deze uitwisseling van de sleutel kan worden gemanipuleerd, kunnen kwaadwillenden inbreken op de Wi-Fi verbinding. Hierdoor ben je te volgen bij wat je op internet doet. Ook kunnen aanvallers je valse websites voorschotelen.

Een aanvaller moet fysiek in de buurt van een Wi-Fi netwerk zijn om het lek te misbruiken. Alleen onversleuteld internetverkeer is dan inzichtelijk. Steeds meer websites en apps gebruiken HTTPS-verbindingen die wel zijn versleuteld, en daarom niet kunnen worden afgeluisterd.

Statements van Wi-Fi leveranciers
Om ons te beschermen zullen veel Wi-Fi leveranciers nieuwe updates beschikbaar stellen om deze aanval tegen te gaan. Vanuit onze Wi-Fi leveranciers zijn er statements afgegeven over KRACK. Deze verschillende statements kunt u hieronder lezen.

  • Ruckus / Xclaim

Bekijk hier het document.

UPDATE: Ruckus heeft inmiddels verschillende software patches beschikbaar gesteld die een oplossing bieden voor het WPA2 KRACK issue. Deze patches zijn beschikbaar via de website van Ruckus.

  • Alcatel-Lucent Enterprise

Bekijk hier het document van ALE.  (update)

Lees ook meer over het statement van ALE op hun website en hun blog.

UPDATE: Alcatel-Lucent Enterprise heeft een nieuwe firmware release beschikbaar gesteld die een oplossing biedt voor het WPA2 KRACK issue. Indien u vragen heeft of deze firmware wilt downloaden, kunt u contact opnemen met onze supportafdeling via support@alcadis.nl.

  • EnGenius

Lees hier het persbericht van EnGenius.

  • SonicWall

Lees hier het persbericht van SonicWall.

  • WiFi Alliance

De WiFI Alliance heeft ook een statement afgegeven met betrekking tot KRACK. Bekijk het statement hier.

Kwetsbaarheden in clients
Er is veel zichtbaarheid van de fabrikanten van Wi-Fi netwerkapparatuur ten aanzien van de door hen genomen maatregelen. Minder belicht is echter het feit dat de zwakheden die zijn blootgelegd ook grotendeels gerelateerd zijn aan de client apparatuur. Elke Wi-Fi toestel is hierdoor kwetsbaar. Met name Android 6 (Marshmallow) is hiervoor gevoelig. Google heeft al aangegeven de komende tijd maatregelen te zullen treffen. Hoewel Apple’s IOS minder kwetsbaar lijkt heeft deze fabrikant ook aangegeven zo snel mogelijk software updates ter beschikking te stellen. Microsoft heeft aangegeven reeds updates ter beschikking te hebben. De boodschap is dan ook dat u ervoor dient te zorgen dat uw client apparatuur van de juiste updates en beveiligingsupdates is voorzien.

Het effect van KRACK in de praktijk

Het WPA / WPA2-protocol is na de bekendmaking van KRACK niet fundamenteel gebrekkig. Dit betekent dat de blootstelling beperkt en fixeerbaar is zonder dat WPA2 geheel ongeschikt wordt verklaard. Software- / firmware-patches worden of zijn al ter beschikking gesteld. Het is belangrijk om te weten dat, hoewel deze aanvallen technisch haalbaar zijn, ze niet mogelijk zijn zonder toegang tot uw netwerk en er bovenal een zeer grote mate van expertise en verfijning benodigd is om deze succesvol uit te voeren. Wij raden altijd aan dat iedereen die geïnteresseerd is in het beveiligen van hun WLAN-netwerk, regelmatig audits uitvoert van hun beveiligingsinfrastructuur en -procedures om ervoor te zorgen dat alles in overeenstemming is met de “best practices” en leveranciersaanbevelingen.

Mocht u naar aanleiding van dit bericht nog vragen hebben, dan kunt u contact opnemen met uw Accountmanager of neem contact met ons op via sales@alcadis.nl of 030-65 85 125.

Lek in Wi-Fi beveiliging WPA2 – KRACK

De media staan er vol mee, er is een beveiligingslek in het WPA2 wireless protocol genaamd KRACK. Hiermee kunnen aanvallers via de draadloze verbinding meekijken met het internetgebruik en mogelijk malware installeren.

KRACK
Een Belgische onderzoeker heeft dit lek blootgelegd. KRACK staat voor ‘Key Reinstallation Attack’ en maakt gebruik van een ontwerpfout in de cryptografische protocollen door een reeds gebruikte sleutel opnieuw te installeren. kortom de manier waarop een apparaat een ‘sleutel’ uitwisselt met een Wi-Fi verbinding.

Doordat deze uitwisseling van de sleutel kan worden gemanipuleerd, kunnen kwaadwillenden inbreken op de Wi-Fi verbinding. Hierdoor ben je te volgen bij wat je op internet doet. Ook kunnen aanvallers je valse websites voorschotelen.

Een aanvaller moet fysiek in de buurt van een Wi-Fi netwerk zijn om het lek te misbruiken. Alleen onversleuteld internetverkeer is dan inzichtelijk. Steeds meer websites en apps gebruiken HTTPS-verbindingen die wel zijn versleuteld, en daarom niet kunnen worden afgeluisterd.

Statements van Wi-Fi leveranciers
Om ons te beschermen zullen veel Wi-Fi leveranciers nieuwe updates beschikbaar stellen om deze aanval tegen te gaan. Vanuit onze Wi-Fi leveranciers zijn er statements afgegeven over KRACK. Deze verschillende statements kunt u hieronder lezen.

  • Ruckus / Xclaim

Bekijk hier het document.

  • Alcatel-Lucent Enterprise

Bekijk hier het document van ALE.

Lees ook meer over het statement van ALE op hun website en hun blog.

  • EnGenius

Lees hier het persbericht van EnGenius.

  • SonicWall

Lees hier het persbericht van SonicWall.

  • WiFi Alliance

De WiFI Alliance heeft ook een statement afgegeven met betrekking tot KRACK. Bekijk het statement hier.

Kwetsbaarheden in clients
Er is veel zichtbaarheid van de fabrikanten van Wi-Fi netwerkapparatuur ten aanzien van de door hen genomen maatregelen. Minder belicht is echter het feit dat de zwakheden die zijn blootgelegd ook grotendeels gerelateerd zijn aan de client apparatuur. Elke Wi-Fi toestel is hierdoor kwetsbaar. Met name Android 6 (Marshmallow) is hiervoor gevoelig. Google heeft al aangegeven de komende tijd maatregelen te zullen treffen. Hoewel Apple’s IOS minder kwetsbaar lijkt heeft deze fabrikant ook aangegeven zo snel mogelijk software updates ter beschikking te stellen. Microsoft heeft aangegeven reeds updates ter beschikking te hebben. De boodschap is dan ook dat u ervoor dient te zorgen dat uw client apparatuur van de juiste updates en beveiligingsupdates is voorzien.

Het effect van KRACK in de praktijk

Het WPA / WPA2-protocol is na de bekendmaking van KRACK niet fundamenteel gebrekkig. Dit betekent dat de blootstelling beperkt en fixeerbaar is zonder dat WPA2 geheel ongeschikt wordt verklaard. Software- / firmware-patches worden of zijn al ter beschikking gesteld. Het is belangrijk om te weten dat, hoewel deze aanvallen technisch haalbaar zijn, ze niet mogelijk zijn zonder toegang tot uw netwerk en er bovenal een zeer grote mate van expertise en verfijning benodigd is om deze succesvol uit te voeren. Wij raden altijd aan dat iedereen die geïnteresseerd is in het beveiligen van hun WLAN-netwerk, regelmatig audits uitvoert van hun beveiligingsinfrastructuur en -procedures om ervoor te zorgen dat alles in overeenstemming is met de “best practices” en leveranciersaanbevelingen.

Mocht u naar aanleiding van dit bericht nog vragen hebben, dan kunt u contact opnemen met uw Accountmanager of neem contact met ons op via sales@alcadis.nl of 030-65 85 125.