[Tipp] [AVM] WLAN Unterbrechungen alle 12h vermeiden

[Simanova]

Eure AVM Geräte (z.b FritzBox, FritzRepeater) und Endgeräte verlieren alle 12h die Verbindung?
Und im Ereignisprotokoll der Fritzbox seht ihr:

Link zur AVM Hilfeseite.


Dann seit ihr vermutlich auf das gleiche Problem gestoßen, wie ich.
Die Lösung: WPA3 in der Fritzbox ausschalten.

Zur Erläuterung:

Ist es sicher WPA3 auszuschalten und nur WPA2 zu verwerden?

Ein WPA2 Angriff ist sehr aufwändig und nur bei ungepatchten Routern oder Systemen möglich.
(Quelle / Abschnitt Sicherheit)
Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.
Firmen und Betriebe sollten stets WPA3 verwenden, wenn möglich.


Muss ich WPA3 auch auf den Repeatern ausschalten?

Im Mesh Modus haben die Repeater die gleichen Einstellungen wie die FritzBox.
Daher reicht es aus, die Einstellung an der Fritzbox zu ändern.

 

[Ja_Ge]

Das ist ein gewolltes verhalten bei WPA3 um den Key – Exchange zu triggern, den Key zu erneuern und damit die Sicherheit zu erhöhen.

Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.

Darum ist das auch noch nie bei privaten Netzwerken vorgekommen? Mir würden bei meinem Nachbarn Gründe in 2-Stelliger Anzahl einfallen…

 

[up.whatever]

Das ist ein gewolltes verhalten

Dann ist das ein Designfehler!? Stell dir vor du bist gerade mit deinem Mobilgerät in einer Konferenz und die Fritzbox beschließt mittendrin aus "Sicherheitsgründen" deine Verbindung abzuwürgen, weil das Gerät schon seit 12 Stunden verbunden war...

 

[Ja_Ge]

Dann ist das ein Designfehler!?

Das habe ich mir doch nicht so ausgedacht.

https://at.avm.de/service/wissensda...-WLAN-Gerat-wird-turnusmassig-neu-angemeldet/

https://avm.de/service/wissensdaten...-WLAN-Gerat-wird-turnusmassig-neu-angemeldet/

...

 

[BlubbsDE]

Stell dir vor du bist gerade mit deinem Mobilgerät in einer Konferenz

Die Trennung juckt Teams & Co. nicht.

 

[tollertyp]

Ist ja nicht so, dass man eine neue IP zugewiesen bekäme oder sonst was. Und wer auf extrem stabile Verbindungen angewiesen ist, der sollte sich überlegen, ob er überhaupt auf WLAN setzt...

Ich frage mich bei dem Tipp, ob es auch ein Problem dazu gibt.

Aber danke für den Tipp, gerade gesehen dass in meinem Router WPA3 noch deaktiviert war.

 

[up.whatever]

Die Trennung juckt Teams & Co. nicht.

Warum nicht? Wenn ich mit einem Android Smartphone in einem Teams Meeting bin und die WLAN Verbindung abbricht, bin ich für ein paar Sekunden raus, bis der Failover aufs Mobilfunknetz durch ist. Wenn ich bewusst den WLAN Bereich verlasse, nehme ich das in Kauf. Aber ein reconnect ohne zwingenden Grund erscheint mir suboptimal.

Für mich ist das alles in allem nur ein weiterer Grund, warum sich WPA3 mittelfristig nicht durchsetzen wird. Insbesondere solange WPA2 noch parallel erlaubt ist, gibt es keinerlei echten Sicherheitsgewinn.

 

[tollertyp]

Was bedeutet für dich "Abbruch der WLAN-Verbindung"?
Wie lange dauert der Vorgang hier der Reauthentifizierung?

 

[riversource]

Man sollte vielleicht dazu sagen, dass nur die per WLAN verbundenen Repeater neu verbunden werden. Die Endgeräte, auch die mit WPA3, nicht. Für das Endgerät ist das also nur ein kurzer Schluckauf von wenigen ms, sowas kommt mehrmals pro Stunde einfach aufgrund von Funk-Störungen vor. Das bemerkt man vielleicht bei VoIP, aber ganz sicher nicht bei Teams und ähnlichen Systemen, weil die laufen über TCP.

 

[Hammelkopp]

Die Trennung juckt Teams & Co. nicht.

Hab ich bei einigen Kunden anders erlebt. Wenn bei WPA2 z.b. ein kompletter 4 - Way Handshake erfolgen muss, dauert das nen bisschen. Für den 0815 User sicherlich alles iO jedoch nicht für gewisse Herren in Unternehmen.

Für mich ist das alles in allem nur ein weiterer Grund, warum sich WPA3 mittelfristig nicht durchsetzen wird. Insbesondere solange WPA2 noch parallel erlaubt ist, gibt es keinerlei echten Sicherheitsgewinn.

Das gleiche hatten wir damals auch bei WPA und WPA2. Da gab es auch eine Transition Phase.
Der Mehrwert von WPA3 ist gegeben und es wird sich langfristig durchsetzen. Vielleicht wird es etwas länger dauern als damals WPA zu WPA2 (einfach weil es mittlerweile viel mehr WLAN Geräte als damals gibt) aber es wird passieren. Allein schon aus dem Grund, dass es irgendwann WPA4 gibt und die Industrie wieder was zu Verkaufen hat.

 

[riversource]

Hab ich bei einigen Kunden anders erlebt. Wenn bei WPA2 z.b. ein kompletter 4 - Way Handshake erfolgen muss, dauert das nen bisschen. Für den 0815 User sicherlich alles iO jedoch nicht für gewisse Herren in Unternehmen.

Erfreulicherweise kommt es ja nicht zum WPA2 4 - Way Handshake.

 

[Hammelkopp]

Jo stimmt natürlich. Es ging mir nur darum aufzuzeigen, dass Teams auch nicht so resilient gegenüber Verbindungsabbrüchen ist.

Unabhängig davon, könnte jetzt bei AVM nichts dazu finden, dass auch die Clients neuverbunden werden. Oder geht es hier nur um die Clients die über den Repeater verbunden sind?

 

[tollertyp]

Also ich habe am Samstag mein Smartphone auf WPA3 umgestellt, das lief seit dem ohne Neustart durch. Traurigerweise konnte ich besagte Meldung nicht in meinem Router-Log sehen.

Jetzt mag ein kluger Mensch sagen "Ja gut, aber das Handy ist ja auch nicht 12h am Stück aktiv im Internet usw". Schon richtig. Aber
a) besteht ja sehr wohl eine Verbindung zum Internet, denn es reagiert ja auf eingehende Ereignisse...
b) wenn es um Teams geht, und man an einem Firmen-Gerät arbeitet, ist auch fraglich, ob man da 12h am Stück regelmäßig überschreitet

 

[riversource]

Traurigerweise konnte ich besagte Meldung nicht in meinem Router-Log sehen.

Endgeräte sind ja auch nicht betroffen. Nur die per WLAN angebundenen Repeater.

 

[tollertyp]

Das wollte ich ja auch damit nochmal klarstellen. Aber ja, ich gebe zu, mein a/b könnte andeuten, dass ich das nicht so sehe.

Und bei Repeatern setze ich eh lieber auf LAN-Kabel.

 

[norKoeri]

Das sind immer diese Momente, wo ich denke „ausländische Agenten greifen unsere freiheitliche demokratische Grundordnung an …“

solange WPA2 noch parallel erlaubt ist, gibt es keinerlei echten Sicherheitsgewinn.

Hier darf man seine Erfahrungen mit dem WPA/WPA2-Mischmasch-Modus nicht übertragen, denn WLAN-Geräte, die WPA3-Personal verwenden, profitieren nun auch von Forward-Secrecy … die Blöden, sind halt die alten Geräte (und diejenigen die sich Downgraden lassen). Was vielleicht wirklich für die Tonne sein dürfte, war wohl WPA3-Enterprise.

Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.

Wo genau kommt jene Äußerung nun her? Eine Person, die heute noch nicht im öffentlichen Interesse steht, kann es morgen sein – und ist dann vielleicht erpressbar, weil gegenüber im Wohnheim ein Schläfer alle WLANs mitgeschrieben hat.

 

[rezzler]

Ein WPA2 Angriff ist sehr aufwändig und nur bei ungepatchten Routern oder Systemen möglich.
(…)
Firmen und Betriebe sollten stets WPA3 verwenden, wenn möglich.

Du widersprichst dir hier selbst. Wieso WPA3 verwenden, wenn WPA2 doch sicher ist? Oder: Wieso sollte ich als Privatmann meinen Technik unsicherer betreiben als Firmen?

Bei privaten Netzwerken gibt es außerdem keinen Grund für den Angreifer einzudringen.

Der Punkt wurde ja nun schon gut genug widerlegt.

 

[Hammelkopp]

Was vielleicht wirklich für die Tonne sein dürfte, war wohl WPA3-Enterprise.

Warum soll WPA3-Enterprise für die Tonne sein?

 

[norKoeri]

Weil es keinen Sicherheitszusatz bietet†. Forward-Secrecy wird in Enterprise über EAP ausgehandelt; das war bereits seit WPA1-Enterprise möglich. Wichtig war hier schon immer, einen EAP zu nehmen, in dem man Forward-Secrecy überhaupt verwenden kann. Also reine Konfigurationsentscheidung. Und dazu müssen TLS-Cipher-Suites bevorzugt werden, weil einige WLAN-Clients bzw. Server-Bibliotheken mit unsinnigen Vorschlägen/Reihenfolgen kamen. Das erfordert ein enormes Wissen an den WLAN-Konfigurator.

Diese Probleme wurden mit WPA3-Enterprise überhaupt nicht angegangen. WPA3-Enterprise ist WPA2-Enterprise mit verpflichtetem optionalen PMF. Das war es. Selbst so Dinge wie TLS 1.3 sind aktuell nicht nutzbar, nicht einmal optional. SHA-2 ist völliges Chaos, weil die Reihenfolge der Hash-Algos nicht vorgegeben ist. Wurde überhaupt irgendeine existierende Implementierung getestet, dass die damit klar kommt?

WPA3-Enterprise ist ein schreckliches „Logo“ ohne Substanz, weil ich als WLAN-Client immer noch ohne PMF, ja sogar ohne TLS 1.2 und ohne Forward-Secrecy durchkommen kann. Das Schlimmste ist, dass WPA3 inzwischen in vier Versionen existiert, aktuell ist Version 3.1. Schaut man sich die Umsetzungen an, wird einem völlig Schwarz vor Augen. Aktuell muss der WLAN-Konfigurator immer debuggen, was der Hersteller nicht verstanden hat. Das bedeutet, man braucht als WLAN-Dienstleister jemanden, der Schlauer ist, als alle Mitarbeiter bei einem WLAN-Hersteller, also schlauer als deren komplette Entwicklungs- und Test-Abteilung. Unbezahlbar.

† Der Standard gibt keinerlei wissenschaftliche Fundierung an, dass die Änderungen etwas bringen (könnten). Man hat einfach aus einem Regal herausgenommen ohne sich die Wechselwirkungen anzuschauen.

 

[Hammelkopp]

Danke für die ausführliche Rückmeldung!