[Tipp] [AVM] WLAN Unterbrechungen alle 12h vermeiden

Simanova

Rear Admiral
Registriert
Dez. 2012
Beiträge
5.309
Eure AVM Geräte (z.b FritzBox, FritzRepeater) und Endgeräte verlieren alle 12h die Verbindung?
Und im Ereignisprotokoll der Fritzbox seht ihr:

1703949970392.png


Link zur AVM Hilfeseite.


Dann seit ihr vermutlich auf das gleiche Problem gestoßen, wie ich.
Die Lösung: WPA3 in der Fritzbox ausschalten.

1703950118774.png



Zur Erläuterung:

Ist es sicher WPA3 auszuschalten und nur WPA2 zu verwerden?

Ein WPA2 Angriff ist sehr aufwändig und nur bei ungepatchten Routern oder Systemen möglich.
(Quelle / Abschnitt Sicherheit)
Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.
Firmen und Betriebe sollten stets WPA3 verwenden, wenn möglich.


Muss ich WPA3 auch auf den Repeatern ausschalten?

Im Mesh Modus haben die Repeater die gleichen Einstellungen wie die FritzBox.
Daher reicht es aus, die Einstellung an der Fritzbox zu ändern.
 
Zuletzt bearbeitet:
Das ist ein gewolltes verhalten bei WPA3 um den Key – Exchange zu triggern, den Key zu erneuern und damit die Sicherheit zu erhöhen.
Simanova schrieb:
Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.
Darum ist das auch noch nie bei privaten Netzwerken vorgekommen? Mir würden bei meinem Nachbarn Gründe in 2-Stelliger Anzahl einfallen…
 
Ja_Ge schrieb:
Das ist ein gewolltes verhalten
Dann ist das ein Designfehler!? Stell dir vor du bist gerade mit deinem Mobilgerät in einer Konferenz und die Fritzbox beschließt mittendrin aus "Sicherheitsgründen" deine Verbindung abzuwürgen, weil das Gerät schon seit 12 Stunden verbunden war...
 
Ist ja nicht so, dass man eine neue IP zugewiesen bekäme oder sonst was. Und wer auf extrem stabile Verbindungen angewiesen ist, der sollte sich überlegen, ob er überhaupt auf WLAN setzt...

Ich frage mich bei dem Tipp, ob es auch ein Problem dazu gibt.

Aber danke für den Tipp, gerade gesehen dass in meinem Router WPA3 noch deaktiviert war.
 
  • Gefällt mir
Reaktionen: Bob.Dig
BlubbsDE schrieb:
Die Trennung juckt Teams & Co. nicht.
Warum nicht? Wenn ich mit einem Android Smartphone in einem Teams Meeting bin und die WLAN Verbindung abbricht, bin ich für ein paar Sekunden raus, bis der Failover aufs Mobilfunknetz durch ist. Wenn ich bewusst den WLAN Bereich verlasse, nehme ich das in Kauf. Aber ein reconnect ohne zwingenden Grund erscheint mir suboptimal.

Für mich ist das alles in allem nur ein weiterer Grund, warum sich WPA3 mittelfristig nicht durchsetzen wird. Insbesondere solange WPA2 noch parallel erlaubt ist, gibt es keinerlei echten Sicherheitsgewinn.
 
Zuletzt bearbeitet:
Was bedeutet für dich "Abbruch der WLAN-Verbindung"?
Wie lange dauert der Vorgang hier der Reauthentifizierung?
 
  • Gefällt mir
Reaktionen: Der Lord und Ja_Ge
Man sollte vielleicht dazu sagen, dass nur die per WLAN verbundenen Repeater neu verbunden werden. Die Endgeräte, auch die mit WPA3, nicht. Für das Endgerät ist das also nur ein kurzer Schluckauf von wenigen ms, sowas kommt mehrmals pro Stunde einfach aufgrund von Funk-Störungen vor. Das bemerkt man vielleicht bei VoIP, aber ganz sicher nicht bei Teams und ähnlichen Systemen, weil die laufen über TCP.
 
  • Gefällt mir
Reaktionen: tollertyp, Ja_Ge und Der Lord
BlubbsDE schrieb:
Die Trennung juckt Teams & Co. nicht.
Hab ich bei einigen Kunden anders erlebt. Wenn bei WPA2 z.b. ein kompletter 4 - Way Handshake erfolgen muss, dauert das nen bisschen. Für den 0815 User sicherlich alles iO jedoch nicht für gewisse Herren in Unternehmen.
up.whatever schrieb:
Für mich ist das alles in allem nur ein weiterer Grund, warum sich WPA3 mittelfristig nicht durchsetzen wird. Insbesondere solange WPA2 noch parallel erlaubt ist, gibt es keinerlei echten Sicherheitsgewinn.
Das gleiche hatten wir damals auch bei WPA und WPA2. Da gab es auch eine Transition Phase.
Der Mehrwert von WPA3 ist gegeben und es wird sich langfristig durchsetzen. Vielleicht wird es etwas länger dauern als damals WPA zu WPA2 (einfach weil es mittlerweile viel mehr WLAN Geräte als damals gibt) aber es wird passieren. Allein schon aus dem Grund, dass es irgendwann WPA4 gibt und die Industrie wieder was zu Verkaufen hat.
 
Hammelkopp schrieb:
Hab ich bei einigen Kunden anders erlebt. Wenn bei WPA2 z.b. ein kompletter 4 - Way Handshake erfolgen muss, dauert das nen bisschen. Für den 0815 User sicherlich alles iO jedoch nicht für gewisse Herren in Unternehmen.
Erfreulicherweise kommt es ja nicht zum WPA2 4 - Way Handshake.
 
  • Gefällt mir
Reaktionen: tollertyp
Jo stimmt natürlich. Es ging mir nur darum aufzuzeigen, dass Teams auch nicht so resilient gegenüber Verbindungsabbrüchen ist.

Unabhängig davon, könnte jetzt bei AVM nichts dazu finden, dass auch die Clients neuverbunden werden. Oder geht es hier nur um die Clients die über den Repeater verbunden sind?
 
Also ich habe am Samstag mein Smartphone auf WPA3 umgestellt, das lief seit dem ohne Neustart durch. Traurigerweise konnte ich besagte Meldung nicht in meinem Router-Log sehen.

Jetzt mag ein kluger Mensch sagen "Ja gut, aber das Handy ist ja auch nicht 12h am Stück aktiv im Internet usw". Schon richtig. Aber
a) besteht ja sehr wohl eine Verbindung zum Internet, denn es reagiert ja auf eingehende Ereignisse...
b) wenn es um Teams geht, und man an einem Firmen-Gerät arbeitet, ist auch fraglich, ob man da 12h am Stück regelmäßig überschreitet
 
Das wollte ich ja auch damit nochmal klarstellen. Aber ja, ich gebe zu, mein a/b könnte andeuten, dass ich das nicht so sehe.

Und bei Repeatern setze ich eh lieber auf LAN-Kabel.
 
Das sind immer diese Momente, wo ich denke „ausländische Agenten greifen unsere freiheitliche demokratische Grundordnung an …“
up.whatever schrieb:
solange WPA2 noch parallel erlaubt ist, gibt es keinerlei echten Sicherheitsgewinn.
Hier darf man seine Erfahrungen mit dem WPA/WPA2-Mischmasch-Modus nicht übertragen, denn WLAN-Geräte, die WPA3-Personal verwenden, profitieren nun auch von Forward-Secrecy … die Blöden, sind halt die alten Geräte (und diejenigen die sich Downgraden lassen). Was vielleicht wirklich für die Tonne sein dürfte, war wohl WPA3-Enterprise.
Simanova schrieb:
Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.
Wo genau kommt jene Äußerung nun her? Eine Person, die heute noch nicht im öffentlichen Interesse steht, kann es morgen sein – und ist dann vielleicht erpressbar, weil gegenüber im Wohnheim ein Schläfer alle WLANs mitgeschrieben hat.
 
Simanova schrieb:
Ein WPA2 Angriff ist sehr aufwändig und nur bei ungepatchten Routern oder Systemen möglich.
(…)
Firmen und Betriebe sollten stets WPA3 verwenden, wenn möglich.
Du widersprichst dir hier selbst. Wieso WPA3 verwenden, wenn WPA2 doch sicher ist? Oder: Wieso sollte ich als Privatmann meinen Technik unsicherer betreiben als Firmen?
Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.
Der Punkt wurde ja nun schon gut genug widerlegt.
 
  • Gefällt mir
Reaktionen: tollertyp
Weil es keinen Sicherheitszusatz bietet†. Forward-Secrecy wird in Enterprise über EAP ausgehandelt; das war bereits seit WPA1-Enterprise möglich. Wichtig war hier schon immer, einen EAP zu nehmen, in dem man Forward-Secrecy überhaupt verwenden kann. Also reine Konfigurationsentscheidung. Und dazu müssen TLS-Cipher-Suites bevorzugt werden, weil einige WLAN-Clients bzw. Server-Bibliotheken mit unsinnigen Vorschlägen/Reihenfolgen kamen. Das erfordert ein enormes Wissen an den WLAN-Konfigurator.

Diese Probleme wurden mit WPA3-Enterprise überhaupt nicht angegangen. WPA3-Enterprise ist WPA2-Enterprise mit verpflichtetem optionalen PMF. Das war es. Selbst so Dinge wie TLS 1.3 sind aktuell nicht nutzbar, nicht einmal optional. SHA-2 ist völliges Chaos, weil die Reihenfolge der Hash-Algos nicht vorgegeben ist. Wurde überhaupt irgendeine existierende Implementierung getestet, dass die damit klar kommt?

WPA3-Enterprise ist ein schreckliches „Logo“ ohne Substanz, weil ich als WLAN-Client immer noch ohne PMF, ja sogar ohne TLS 1.2 und ohne Forward-Secrecy durchkommen kann. Das Schlimmste ist, dass WPA3 inzwischen in vier Versionen existiert, aktuell ist Version 3.1. Schaut man sich die Umsetzungen an, wird einem völlig Schwarz vor Augen. Aktuell muss der WLAN-Konfigurator immer debuggen, was der Hersteller nicht verstanden hat. Das bedeutet, man braucht als WLAN-Dienstleister jemanden, der Schlauer ist, als alle Mitarbeiter bei einem WLAN-Hersteller, also schlauer als deren komplette Entwicklungs- und Test-Abteilung. Unbezahlbar.

† Der Standard gibt keinerlei wissenschaftliche Fundierung an, dass die Änderungen etwas bringen (könnten). Man hat einfach aus einem Regal herausgenommen ohne sich die Wechselwirkungen anzuschauen.
 
  • Gefällt mir
Reaktionen: up.whatever und Hammelkopp
Zurück
Oben