Evtl. für zusätzliche Sicherheit, den hostapd mit z. B.:
Code: Alles auswählen
CFLAGS += -DDEFAULT_WPA_DISABLE_EAPOL_KEY_RETRIES=1
Quelle: https://w1.fi/cgit/hostap/commit/?id=6f ... 45ed8e52d3
Evtl. für zusätzliche Sicherheit, den hostapd mit z. B.:
Code: Alles auswählen
CFLAGS += -DDEFAULT_WPA_DISABLE_EAPOL_KEY_RETRIES=1
Die Bridge ist auch nur ein Host im entsprechenden Netzsegment:hikaru hat geschrieben:21.10.2017 10:52:27Das Entscheidende scheint das Zuweisen einer Netzwerkadresse an die Bridge in /etc/network/interfaces überhaupt zu sein. netmask und broadcast haben offenbar keinen Einfluss. Aber wenn ich eine address-Zeile zuweise (auch 192.168.1.10, was im selben Subnetz wie mein restliches Netzwerk liegt), dann funktioniert hostapd, aber nicht das restliche Netzwerk und wenn ich sie nicht zuweise, dann ist es genau andersrum. Dabei ist es für die Funktionstüchtigkeit des Netzwerks egal, ob hostapd schon läuft oder noch nicht.
https://de.m.wikipedia.org/wiki/WPA2#Ke ... on_AttacksDie Sicherheitslücke betrifft die clientseitige Implementation von IEEE 802.11s und die Accesspoints bei der IEEE 802.11r beim „MESH-Roaming“ und nicht nur einzelne Implementierungen.[4]
Das kann gut sein, denn wenn ich mich dunkel erinnere, war die bridge "wlan-ethernet" etwas komplizierter als die bridge "ethernet-ethernet".hikaru hat geschrieben:21.10.2017 10:38:13Nach Auskommentieren dieser Zeilen funktioniert die Netzwerkkommunikation mit anderen Rechnern wieder, allerdings scheitert dann der Handshake in hostapd:dufty2 hat geschrieben:21.10.2017 07:40:56Da Du im Grunde nur eine "WLAN-Bridge" aber keinen "WLAN-Router" benötigst, könnten die ZeilenCode: Alles auswählen
address 192.168.3.1 netmask 255.255.255.0 broadcast 192.168.3.255
Danke für den Hinweis!mat6937 hat geschrieben:21.10.2017 10:52:27Evtl. für zusätzliche Sicherheit, den hostapd mit z. B.:patchen/kompilieren/konfigurieren.Code: Alles auswählen
CFLAGS += -DDEFAULT_WPA_DISABLE_EAPOL_KEY_RETRIES=1
Quelle: https://w1.fi/cgit/hostap/commit/?id=6f ... 45ed8e52d3
Ich denke, der Teil ist mir klar.Jana66 hat geschrieben:21.10.2017 12:52:42Die Bridge ist auch nur ein Host im entsprechenden Netzsegment:
Router - LAN-Subnet - Ethernetport der Bridge- Bridge (IP) - WLAN-Port der Bridge - WLAN (= LAN-Subnet). Also Bridge-IP ausschließlich aus LAN-Subnet und ausserhalb DHCP-Pool des Routers!
Das ändert hier nichts. Ich habe gerade mal dem LAN-Interface und der Bridge statisch die selbe IP zugewiesen, aber auch dann lässt sich der Rechner nicht anpingen, während eine WLAN-Verbindung per hostapd funktioniert. Wenn ich die IP-Adresse der Bridge gar nicht definiere, dann habe ich wieder den umgekehrten Fall, dass zwar der Rechner selbst im LAN ereichbar ist, aber per hostapd keine WLAN-Verbindungen mehr gehen.Jana66 hat geschrieben:21.10.2017 12:52:42Die Bridge-IP ist eigentlich die gleiche, wie die normale IP des Rechners.
Keines von beiden läuft momentan auf dem Rechner.Jana66 hat geschrieben:21.10.2017 12:52:42DHCP-Dienste müssen gar nicht laufen (werden durchgereicht), DNS-Forwarder nur um auf dem Rechner arbeiten zu können.
network--manager habe ich abgeschaltet. Das war nötig um hostapd überhaupt starten zu können.Jana66 hat geschrieben:21.10.2017 12:52:42Schaue mal nach sich "kannibalisiernden" Netzwerkdiensten (network-manager, dnsmasq, systemd?).
Das scheint sich mit dem Plastikrouter zu beißen. Jedenfalls kann ich dann trotz stehender Verbindung weder in's LAN noch in's Internet pingen.Jana66 hat geschrieben:21.10.2017 12:52:42Und für Bridge gleiche IP-Konfiguration wie für Hosts im WLAN und vorgeschalteten LAN-Segment. Da fixe IP ausserhalb DHCP-Pool.
Angenommen das sei in meinem AP implementiert, reicht das schon für Verwundbarkeit oder muss das Feature auch aktiviert sein?Jana66 hat geschrieben:21.10.2017 13:34:01802.11r betrifft Roaming in WLAN-Netzen mit mehreren Accesspoints. Implementierung für AP und Client notwendig.
Datenblatt suchen: Ist das in meinem Accesspoint/Router überhaupt implementiert? In meinem WLAN-Client, meinem Repeater?
Danke! Die Konfiguration funktioniert.dufty2 hat geschrieben:21.10.2017 13:50:23Unter
https://www.elektronik-kompendium.de/si ... 002161.htm
ist auch eine bridge-Konfiguration benannt,
Code: Alles auswählen
# This is an autoconfigured IPv6 interface
iface enp1s0 inet6 auto
Haben wir doch gelerntingo2 hat geschrieben:21.10.2017 17:57:53Habe das erstmal einfach kommentiert - aber dennoch funktioniert IPv6 über die Bridge, obwohl ich nur eine IPv4-Adresse statisch vergeben habe!?
Und die ganzen schönen Filter-Regeln reden nur von und konfigurieren nur IPv4. Ist das nicht irgendwo widersinnig, mit IPv6 umgeht man doch das ganze Routing-Konstrukt, oder denke ich da falsch?
Code: Alles auswählen
$ cat /etc/ethertype
Da fehlt mir jetzt echt das Verständnis. Wie soll dann eine Firewall auf so einer Bridge laufen, wenn eh' alle Ports wie eine "Mehrfachsteckdose" verbunden sind? Was macht dann überhaupt der Kernel noch?dufty2 hat geschrieben:21.10.2017 19:23:26Haben wir doch gelernt
Bei einer Bridge/Switch bräuchten wir gar keine IP(4/6)-Adresse,
die geht ja auf Layer-2 und so ist der übergeordnete Layer-3 (Routing) nicht von Belang.
... zeigt Dir auf, dass es neben IPv4 und IPv6 'ne Menge Protokolle auf Layer-3 gibt.
Jene könnte man ggf. auch per "ebtables" blocken.
Nachdem ich deinen Link gelesen habe, nicht mehr - Danke!dufty2 hat geschrieben:21.10.2017 20:36:53Du willst doch unbedingt eine Firewall auf eine Bridge laufen lassen
Dass das alles funktioniert - wer hat da den Überblickdufty2 hat geschrieben:21.10.2017 20:36:53Recht bekannt ist auch
https://wiki.linuxfoundation.org/images ... kernel.png
Das weiß ich nicht, kommt wohl auf die programmierte "Implementierung der Deaktivierung" an.hikaru hat geschrieben:21.10.2017 14:23:27Angenommen das sei in meinem AP implementiert, reicht das schon für Verwundbarkeit oder muss das Feature auch aktiviert sein?
802.11s kann ich nicht abschätzen, da müsste man tiefer graben als hier: https://de.m.wikipedia.org/wiki/IEEE_802.11s
Freut mich auch. Haben "Mitneugierige" einen Link auf eine verifizierte Gebrauchsanleitung.hikaru hat geschrieben:21.10.2017 14:23:27dufty2 hat geschrieben: Sa 21. Okt 2017, 13:50
Unter
https://www.elektronik-kompendium.de/si ... 002161.htm
ist auch eine bridge-Konfiguration benannt,
Danke! Die Konfiguration funktioniert.
Code: Alles auswählen
service dhcpcd stop
systemctl disable dhcpcd
Der WLAN-Client (wpa_supplicant) müsste auch damit bzw. dafür kompiliert _und_ konfiguriert sein. Z. B.:hikaru hat geschrieben:21.10.2017 14:23:27Angenommen das sei in meinem AP implementiert, reicht das schon für Verwundbarkeit oder muss das Feature auch aktiviert sein?
Code: Alles auswählen
# IEEE Std 802.11r-2008 (Fast BSS Transition)
CONFIG_IEEE80211R=y
Code: Alles auswählen
# key_mgmt: list of accepted authenticated key management protocols
# ,,,
# FT-PSK = Fast BSS Transition (IEEE 802.11r) with pre-shared key
# FT-EAP = Fast BSS Transition (IEEE 802.11r) with EAP authentication
# ...
Man darf davon ausgehen, dass ein Angreifer "mit allen Mitteln gewaschen" ist, sprich alle WLAN-modis zur Verfügung hat.mat6937 hat geschrieben:22.10.2017 10:40:34Der WLAN-Client (wpa_supplicant) müsste auch damit bzw. dafür kompiliert _und_ konfiguriert sein.hikaru hat geschrieben:21.10.2017 14:23:27Angenommen das sei in meinem AP implementiert, reicht das schon für Verwundbarkeit oder muss das Feature auch aktiviert sein?
BTW: Im Zitat geht es aber nur um den 802.11r-FT-Angriff. In deinem 1. Link kann man z. B. Folgendes zu diesem Angriff lesen:dufty2 hat geschrieben:25.10.2017 04:56:35Man darf davon ausgehen, dass ein Angreifer "mit allen Mitteln gewaschen" ist, sprich alle WLAN-modis zur Verfügung hat.mat6937 hat geschrieben:22.10.2017 10:40:34Der WLAN-Client (wpa_supplicant) müsste auch damit bzw. dafür kompiliert _und_ konfiguriert sein.hikaru hat geschrieben:21.10.2017 14:23:27Angenommen das sei in meinem AP implementiert, reicht das schon für Verwundbarkeit oder muss das Feature auch aktiviert sein?
Dies nicht zu tun, wäre IMHO etwas blauäugig
However, if
updating AP software is not possible immediately, an effective mitigation would be disabling 802.11r on
the Aruba infrastructure ...