[o1] My1 am 27.06. 13:25
+1
-2
am Geilsten wäre es ja wenn es Mehrere getrennte Userdaten nicht nur für "Enterprise" geben würde (am besten optional ohne extra server sodass der router das gleich kann).
denn das ist auch einer der (vorgeschobenen) gründe why man selbst bei sauteuren routern wie ner 250€ Teuren Fritzbox das nicht sieht, da es ein "Heimanwendergerät" ist.
denn das ist auch einer der (vorgeschobenen) gründe why man selbst bei sauteuren routern wie ner 250€ Teuren Fritzbox das nicht sieht, da es ein "Heimanwendergerät" ist.
@My1:
Nun ja, AVM müsste nur nen Radius Server in die Fritz!Box integrieren.
Ist an sich ja nur ein bisschen Software.
Nur sieht AVM die Fritzboxen als Home-Gerät und nicht als Businessgerät.
Daher ist ein Enterprise WLAN implementiert. Somit gibts auch keine Möglichkeit, einen Radiusserver einzutragen.
Wer das will muss eben zu zusätzlichen Accesspoints greifen.
Nun ja, AVM müsste nur nen Radius Server in die Fritz!Box integrieren.
Ist an sich ja nur ein bisschen Software.
Nur sieht AVM die Fritzboxen als Home-Gerät und nicht als Businessgerät.
Daher ist ein Enterprise WLAN implementiert. Somit gibts auch keine Möglichkeit, einen Radiusserver einzutragen.
Wer das will muss eben zu zusätzlichen Accesspoints greifen.
@flocke74: deswegen fände ich es mal schön wenn es was ähnliches aber eben ohne die "Enterprise" bezeichnung geben würde.
dann kann man nicht mehr unbedingt sagen dass es für enterprise ist und es ist schon ein gewaltiger komfort UND sicherheitsgewinn wenn man mehrere userdaten hätte, da man halt nicht immer von allen geräten die keys wechseln muss.
dann kann man nicht mehr unbedingt sagen dass es für enterprise ist und es ist schon ein gewaltiger komfort UND sicherheitsgewinn wenn man mehrere userdaten hätte, da man halt nicht immer von allen geräten die keys wechseln muss.
@flocke74: Radiusclient, meinst Du.
Außerdem sind FB für Normalos schon zu schwer. AAA kannst da gleich wieder vergessen. Und bei AVM käme noch hinzu, daß die HW nicht ausreicht, um den Moloch an Software auch noch anzutreiben.
FBs taugen für sowas nicht, da braucht man richtige Hardware, ie zumindest Small Business-Router.
Außerdem sind FB für Normalos schon zu schwer. AAA kannst da gleich wieder vergessen. Und bei AVM käme noch hinzu, daß die HW nicht ausreicht, um den Moloch an Software auch noch anzutreiben.
FBs taugen für sowas nicht, da braucht man richtige Hardware, ie zumindest Small Business-Router.
[re:2] Thunderbyte am 28.06. 23:02
@My1: Du hast noch keinen "sauteueren" (aber krass coolen) Router gesehen:
https://geizhals.de/ubiquiti-unifi-security-gateway-xg-usg-xg-8-a1812746.html
https://geizhals.de/ubiquiti-unifi-security-gateway-xg-usg-xg-8-a1812746.html
@Thunderbyte: Dafür was man da kriegt ist der saugünstig. Natürlich zu fragen, ob man bezogen auf die Zielgruppe/voraussichtlichen Einsatzzweck wirklich die FW im Router haben will, aber zum Segmentieren des Standort-Netzwerks reicht das Ding definitiv. Davon braucht man auch nicht so viele.
Nur administrieren muß wer. Ein simpler Homeuser wird das wohl eher... nicht packen.
Nur administrieren muß wer. Ein simpler Homeuser wird das wohl eher... nicht packen.
[re:1] Thunderbyte am 02.07. 23:40
@RalphS: Habe selbst ein komplettes Unifi Netzwerk (3 APs, 5 Switche, 1 Gateway, 1 "Cloud Key" für den Controller), denn die "normalen" APs und Switche sind sehr bezahlbar. Es ist einfach großartig, alles auf einer Oberfläche konfigurieren zu können. Man hüpft bei 3 APs eben nicht von AP zu AP, sondern richtet eine SSID ein und das wir auf alle APs provisioniert. Super und sehr zu empfehlen.
Daher doch: ein nicht komplett dummer Homeuser packt ein Unifi Netzwerk durchaus.
Daher doch: ein nicht komplett dummer Homeuser packt ein Unifi Netzwerk durchaus.
@Thunderbyte: Erm, sorry. Rückblickend liest sich das (von mir) ein bißchen wie ein persönlicher Angriff.
So war das aber *nicht* gemeint. Natürlich gibt es Homeuser, die "ordentliche" Netzwerke administrieren können. Genauso gibt es natürlich "ordentliche" Netzwerkadmins, die an irgendeiner Stelle auf AVM setzen.
Aber das ist jeweils nicht die Mehrzahl und nur darauf wollte ich eigentlich raus: daß die angepeilte Zielgruppe von Fritzboxen eher der "gemeine Homeuser" ist und der "gemeine Homeuser" ist eher der, der fragt, warum er TCP/IP verstehen muß, um eine Firewall konfigurieren zu können.
Ich wollt mit dem ursprünglichen Post eigentlich auch nur sagen, daß die angesprochene Unify-Box sicherlich absolut betrachtet (einiges) teurer ist als eine Fritzbox.... aber daß sie eben auch signifikante Vorteile gegenüber dieser mitbringt, sodaß sie -zumindest imo- im Hinblick auf Preisleistung wieder günstiger wird als jene.
So war das aber *nicht* gemeint. Natürlich gibt es Homeuser, die "ordentliche" Netzwerke administrieren können. Genauso gibt es natürlich "ordentliche" Netzwerkadmins, die an irgendeiner Stelle auf AVM setzen.
Aber das ist jeweils nicht die Mehrzahl und nur darauf wollte ich eigentlich raus: daß die angepeilte Zielgruppe von Fritzboxen eher der "gemeine Homeuser" ist und der "gemeine Homeuser" ist eher der, der fragt, warum er TCP/IP verstehen muß, um eine Firewall konfigurieren zu können.
Ich wollt mit dem ursprünglichen Post eigentlich auch nur sagen, daß die angesprochene Unify-Box sicherlich absolut betrachtet (einiges) teurer ist als eine Fritzbox.... aber daß sie eben auch signifikante Vorteile gegenüber dieser mitbringt, sodaß sie -zumindest imo- im Hinblick auf Preisleistung wieder günstiger wird als jene.
[re:2] Thunderbyte am 09.07. 15:59
Es würde definitiv für AVM sprechen, wenn sie die Funktionalität per Update nachliefern würden. Denke so ein K.O.-Kriterium ist WPA 3 nicht, als dass man deswegen einen neuen Router kaufen würde.
@Memfis: vlt nicht um den alten router zu ersetzen aber bei nem neukauf wäre es entscheidend wenn man davon weiß.
@Memfis: Dann müssen aber auch alle anderen Geräte im heimischen WLAN mitziehen und da sehe ich schwarz.
@Drachen: Also ich glaube mein aktueller Router hat inzwischen zwei oder drei iPhones,auf jeden Fall aber Wii U, Switch und den New 3DS mitgemacht.
@Memfis: und welches Geät ist dann der Schwachpunkt, der noch kein WPA2 kann oder gar noch nicht einmal WPA?
Solange die Geräte im Bedarfsfall auf die jeweils unsicherere Kommunikation zurückschalten können, ist die Aussage völlig wertlos, wie lange eines der Geräte schon im Einsatz ist - beim Router als zentraler Komponente kann es sogar kontraproduktiv sein, wenn der nicht die neuesten Protokolle kann und damit alle Anderen auf ein niedrigeres Sicherheitsniveau herunter zieht.
Das hatten wir doch schon einmal. Solange damals ein Gerät im Netz war, welches nur WEP konnte, konnte man dieses Protokoll nicht deaktivieren. Das machte das ganze Netz unsicher, seit WEP mit einem normalen Laptop binnen Minuten oder gar Sekunden geknackt werden konnte. Und DESHALB ist es wichtig, dass möglichst alle Knoten im Netz mit der maximalen Sicherheit funken und ältere, unsicherere Verfahren dekativiert werden können.
Solange die Geräte im Bedarfsfall auf die jeweils unsicherere Kommunikation zurückschalten können, ist die Aussage völlig wertlos, wie lange eines der Geräte schon im Einsatz ist - beim Router als zentraler Komponente kann es sogar kontraproduktiv sein, wenn der nicht die neuesten Protokolle kann und damit alle Anderen auf ein niedrigeres Sicherheitsniveau herunter zieht.
Das hatten wir doch schon einmal. Solange damals ein Gerät im Netz war, welches nur WEP konnte, konnte man dieses Protokoll nicht deaktivieren. Das machte das ganze Netz unsicher, seit WEP mit einem normalen Laptop binnen Minuten oder gar Sekunden geknackt werden konnte. Und DESHALB ist es wichtig, dass möglichst alle Knoten im Netz mit der maximalen Sicherheit funken und ältere, unsicherere Verfahren dekativiert werden können.
@Drachen: WPA 3 is abwerts kompatibel zu WPA 2. Damit kann ein WPA 3 WLAN auch mit WPA 2 Clients betrieben werden, dann halt mit WPA 2 und zusätzlichen Sicherheits Features.
[re:1] serra.avatar am 28.06. 16:23
@ManuelM2: schon richtig nur hab ich dann ein WPA3 an sich sicheres Teil, das über WPA2 Lücken angreifbar ist trotz WPA3!
Abwärtskompatibilität mag durchaus seine Berechtigung haben, aber der Sicherheit schadet es!
Abwärtskompatibilität mag durchaus seine Berechtigung haben, aber der Sicherheit schadet es!
@serra.avatar: Es ist zwar möglich das WPA2 Verbindungen weiterhin anfällig sind aber WPA3 führt z.B. verpflichtend PMF ein (verschlüsselte Steuerpakete) das können auch schon viele WPA2 Geräte. Wenn es ersteinmal verbreitet ist wird sicher schnell die Treiber und Programmunterstützt nachgeholt idealerweise per Treiberupdate mindestens aber in der nächsten Hardwaregeneration.
@ManuelM2: Du hast damit völlig recht. Aber darum geht es nicht: WPA3 hat keinerlei Mehrwert, wenn es außer dem Router kein anderes Gerät versteht und im Netz dann weiterhin nur WPA2 genutzt wird.
Oder meine obige Antwort umformuliert: was bringt WPA3 für die Kommunikation, wenn nur ein einziger Knoten im Netz WPA3 kennt? Nichts.
Oder meine obige Antwort umformuliert: was bringt WPA3 für die Kommunikation, wenn nur ein einziger Knoten im Netz WPA3 kennt? Nichts.
[o3] MancusNemo am 27.06. 17:27
Bei heise steht das die OWA doch nicht drin wäre. Da hätte man ja mal recherchieren können, statt abzuschreiben.
@MancusNemo: kannst du kurz sagen was OWA ist, ich kenne die Abkürzung nur für "Office Web Application"
[re:1] MancusNemo am 28.06. 09:43
@tapo: Das ist für Hotspots, weil man da kein Passwort eingibt geht alles im Klartext über die "Luft" und das sollte dann so geregelt werden, dass trozdem eine Verschlüsselung ausgehandelt werden sollte. Aber die Hersteller behaupten es wäre schwer zu programmieren. Daher wurde es auf die nachste WPA Version verschoben. WTF
[re:2] MancusNemo am 28.06. 10:26
@tapo: Zitat von heise:
Fehlen wird OWE (Opportunistic Wireless Encryption), obwohl die WFA sie noch im Januar als einen wesentlichen Fortschritt von WPA3 herausstellte. Mit OWE hätte der unverschlüsselte Betrieb von WLANs ein Ende finden können. Doch nach Jahren unbeachteter Diskussionen von Sicherheitsexperten raufte sich eine Gruppe unbeteiligter Firmen zusammen und opponierte erfolgreich gegen OWE.
Anders als WPA3-Enterprise und -Personal braucht OWE kein Passwort oder Geheimnis. So würde eine WLAN-Basis ähnlich wie beim als "Open" bezeichneten, unverschlüsselten Betrieb jedem Client Zugang gewähren. Trotzdem können Basis und Client individuelle Sitzungsschüssel aushandeln.
Damit wäre OWE sogar sicherer als WPA2-Personal, weil niemand das gemeinsame Geheimnis kennt, anhand dessen die Geräte ihre Sitzungsschlüssel aushandeln. Denn bei WPA2-Personal können Angreifer diese errechnen, wenn sie das Geheimnis kennen und den vierstufigen Anmeldeprozess belauschen können.
Die OWE-Gegner bemängeln, dass ein simultaner Betrieb von unverschlüsselten und OWE-Netzen im selben AP kompliziert zu implementieren sei. Auch müsse gegenüber SAE weiterer Code entwickelt werden. Es sei einfacher, OWE durch SAE mit einheitlichem Passwort zu ersetzen. Da der Streit um OWE noch läuft, wird es in der ersten Welle WPA3-fähiger Geräte wohl nicht implementiert sein und WLAN-Hotspots müssen noch einige Zeit unverschlüsselt weiterfunken.
Leider ist der Text nicht mehr öffentlich abrufbar. Warum auch immer oO
Fehlen wird OWE (Opportunistic Wireless Encryption), obwohl die WFA sie noch im Januar als einen wesentlichen Fortschritt von WPA3 herausstellte. Mit OWE hätte der unverschlüsselte Betrieb von WLANs ein Ende finden können. Doch nach Jahren unbeachteter Diskussionen von Sicherheitsexperten raufte sich eine Gruppe unbeteiligter Firmen zusammen und opponierte erfolgreich gegen OWE.
Anders als WPA3-Enterprise und -Personal braucht OWE kein Passwort oder Geheimnis. So würde eine WLAN-Basis ähnlich wie beim als "Open" bezeichneten, unverschlüsselten Betrieb jedem Client Zugang gewähren. Trotzdem können Basis und Client individuelle Sitzungsschüssel aushandeln.
Damit wäre OWE sogar sicherer als WPA2-Personal, weil niemand das gemeinsame Geheimnis kennt, anhand dessen die Geräte ihre Sitzungsschlüssel aushandeln. Denn bei WPA2-Personal können Angreifer diese errechnen, wenn sie das Geheimnis kennen und den vierstufigen Anmeldeprozess belauschen können.
Die OWE-Gegner bemängeln, dass ein simultaner Betrieb von unverschlüsselten und OWE-Netzen im selben AP kompliziert zu implementieren sei. Auch müsse gegenüber SAE weiterer Code entwickelt werden. Es sei einfacher, OWE durch SAE mit einheitlichem Passwort zu ersetzen. Da der Streit um OWE noch läuft, wird es in der ersten Welle WPA3-fähiger Geräte wohl nicht implementiert sein und WLAN-Hotspots müssen noch einige Zeit unverschlüsselt weiterfunken.
Leider ist der Text nicht mehr öffentlich abrufbar. Warum auch immer oO
[o4] Finsternis am 27.06. 20:08
klingt ja ganz gut alles. Nur Wi-Fi Easy Connect finde ich ungünstig.
Bietet dann jeder router hersteller ne eigene app die solange funktioniert bis ein neuer router auf dem markt ist? Sprechen sich die iot hersteller mit den qr codes ab oder ist das jedesmal der selbe und man hat dann wieder ein einfallstor?
Wäre natürlich klasse wenn man sich die app lokal vom router gleich ziehen könnte mit einer option zum updaten auf dem smartphone, damit man nicht so von appstores abhängig ist. Aber da stellst sich wieda die frage für welches smartphone betriebssystem ect ect ~~.
Ich hoff das ist komplett abstellbar.
Bietet dann jeder router hersteller ne eigene app die solange funktioniert bis ein neuer router auf dem markt ist? Sprechen sich die iot hersteller mit den qr codes ab oder ist das jedesmal der selbe und man hat dann wieder ein einfallstor?
Wäre natürlich klasse wenn man sich die app lokal vom router gleich ziehen könnte mit einer option zum updaten auf dem smartphone, damit man nicht so von appstores abhängig ist. Aber da stellst sich wieda die frage für welches smartphone betriebssystem ect ect ~~.
Ich hoff das ist komplett abstellbar.
[re:1] MancusNemo am 28.06. 10:35
[o6] Thunderbyte am 28.06. 23:08