WPA2 turvalisus ohus

Screen Shot 2017-10-16 at 15.09.52

Belgia ülikoolis avastati WPA2 4way handshake turbeviga, mis võimaldab seni turvaliseks peetud WPA2 andmevoogu õhust rünnata.  Ootame tootjapoolset tarkvarauuendust ja soovitame kõigil ajakohast infot jälgida.

https://www.krackattacks.com/

Õnneks ei ole seekord vaja arendada WPA3 protokolli, WPA2 on täiesti tarkvaraliselt paigatav. Ootame Ruckuselt kiiresti AP-dele uuendusi.

Ruckuse toe kommentaarid

 

We have officially published the advisory id “101617” for the WPA2 vulnerabilities that were publicly disclosed yesterday onhttps://support.ruckuswireless.com/security and https://ruckuswireless.com/security.

Also read this interesting Blog from the Ruckus Room.

https://theruckusroom.ruckuswireless.com/wi-fi/2017/10/16/commonsense-approach-uncommon-problem/

 

Key Points:

  • Ruckus products are exposed to these vulnerabilities under the following conditions:
    • If 802.11r is enabled – 802.11r is disabled by default.  It is recommended that it be disabled until infrastructure and client software have been updated.
    • Mesh and bridging deployments – No known workaround.  However, the Ruckus mesh and bridging implementation makes the practical exploitation of these vulnerabilities more challenging.
  • Ruckus will be releasing security patches to address these vulnerabilities.  Timing will be communicated as soon as possible.  See the security bulletin for the target release vehicles.
  • The attacks outlined are very sophisticated and require specialized hardware and software.  There is currently no publicly available code that enables this attack.

Ruckuse hetke lahendid

Screen Shot 2017-10-17 at 09.27.24

802.11r on krüptosetingute all

Screen Shot 2017-10-17 at 09.45.56

Kiri Ruckuselt

Here is further information regarding WPA2 Krack that can be used communicating with customers.

 

Especially note the following:

Finally, please convey to customers that they will receive software updates, regardless of support contract status.

we will be releasing multiple software patches, beginning on October 30th

 

——————————————————————————————————————————————————————————————————————————————————————————–

 

By now, you are aware of the so-called KRACK vulnerability in the WPA/WPA2 protocol. You have probably received questions from your customers. We acknowledge that this communication should have come sooner.

 

Please be assured that addressing these vulnerabilities as they relate to Ruckus products is of the utmost importance and urgency to us. Please check and point your customers to the latest Security Advisory Bulletin (ID: 101617) on our security page. In short, we will be releasing multiple software patches, beginning on October 30th. A complete list of patches and dates will be continuously updated in this bulletin.

 

In the meantime, please convey to customers that there are specific steps that should be taken right now to minimize risk:

  • Disable 802.11r on the network. This step eliminates the short-term need for patches to Ruckus infrastructure in all but the two scenarios described below. By default, Ruckus disables 802.11r on all platforms.
  • Enable mechanisms at your disposal to identify a Man-in-the-Middle (MitM) attack. By default, Ruckus enables rogue detection and automatically classifies spoofed MACs as a malicious threat. Admins should also enable APs to protect against MitM attacks by de-authenticating clients connecting to a malicious rogue AP, which is required to carry out this attack.
  • Patch client devices as those patches become available from device vendors. Unpatched clients will continue to be a risk to network security, regardless of what other steps are taken.

 

There are two scenarios associated with Ruckus infrastructure in which the above steps will not eliminate the risk: (a) use of mesh backhaul; and (b) point-to-point links. However, successful rogue AP identification, as described above, will minimize risk. A patch is required to eliminate network vulnerability.

 

Full protection against KRACK will be assured once all infrastructure has been patched (and 802.11r re-enabled) and all clients have been patched.

 

Nevertheless, you can reassure your customers that the risk associated with this vulnerability is low. First, an attack canonly be carried out on-site by a sophisticated attacker with specialized equipment and software. There is no publicly available code to enable such an attack. Second, even a successful attack cannot be carried out on a global basis. Only a single device at a time is at risk; the risk is of having its WPA-encrypted communication with the AP decrypted. If higher-level encryption such as HTTPS/SSL, VPN or IPSec is being used, the traffic will not be visible. For a more detailed discussion, please refer to our blog post.

 

Finally, please convey to customers that they will receive software updates, regardless of support contract status.

 

Thank you in advance for your assistance in conveying these messages to your Ruckus customers.

 

Ruckus Virtual Smartzone on ideaalne suurürituste Wi-Fi haldamiseks

Smartzone andmebaasipõhine klasterlahendus

Smartzone sisaldab reaalaajalist andmebaasisüsteemi, mis on Wi-Fi kontrollerite lahenduses ainulaadne, süsteemi saab klusterdada ja skaleerida 30.000 AP-ni ja selles võib korraga sisse olla loginud 300.000 Wi-Fi klienti.  AP-d ise on lokaalselt ellujäävad ja suudavad enamus asju jätkata ka kontrolleriühenduse (see on vana hea SSH tunnel) kadumisel. Näiteks fiks PSK võrk jääb täielikult tööle.

KPI

KPI – Key Performance Indicators on reaalajaline mõõdikute süsteem, mis võimladab numbriliselt ja graafilist saada ülevaadet väga suure kasutajate arvu kohta ja võimaldab vajadusel ka kiiresti sekkuda.

Järgnev näide on graafiline tabel tugijaamade olekutest, mis on ekraanitõmmis 3K Itaalias ehitatud ürituse Wi-Fi võrgust. Loomulikult saab arvnäitajaid numbriliseslt failidesse salvestada, luua pdf faile, automatiseerida raportite salvestust ja saatmist ajaliselt.

Miks sellist asja siis vaja on ?  Kui teil on suured võrgud ja palju kasutajaid, on mõistlik võrgu tervist targalt jälgida ja probleeme ennetada, see võimaldab hoida kokku halduse aega kui ka kasutajate närve.

AP kvaliteedi jälgimine

1juuli 600 klienti

Võrgu L7 reaalaajaline jälgimine

Selleks on SZ arhitektuuri AP tasandile integreeritud Palo Alto tulemüür, see võimaldab ka erinevaid kasutajaid ja protokolle vajadusel piirata.  Näites on näha ühe tunni liiklus konkreetses tsoonis kõikide SSID-de kohta.

 

Screen Shot 2017-08-22 at 15.25.46

Raportite genereerimine

Tihti on mõistil vaadata,mis päeva või pikema aja jooksul näteks iga kolme minuti jooksul toimunud on, neid andmeid saab küsida SZ-i andmebaasist või lasta süsteemil ka pdf või numbrilisel kujul valmis genereerida ja automaatselt eksportida.

Lõige raportist, kus on kolme minuti liiklusmahud.

 

Screen Shot 2017-08-22 at 15.21.36

Uus H510 kiire seinakinnitusega switchiga Wave 2 tugijaam

Screen Shot 2016-09-07 at 11.48.40

 

H510 on H500 mudeli järglane, mis on mõõtmetelt väiksem aga sisult palju võimsam seade.

H510 on hallatav Smartzone, ZoneDirector, Flexmaster keskhaldusega ja töötab muidugi ka iseseisva seadmena.

H510 on viiepordise gigase PoE in/out switchiga, samuti on kiirused kasvanud 2×2:2 Wave 2 MIMO tasemele (1Gb/s). Seade on suure mälu ja võimsa Quad Core prrotsessoriga ning ühildub kõikide Ruckuse tarkvara keaskkondadega. Seega saab seda paigaldada näiteks Unleashed seadmetega ühte võrku või ka Unleasjed iseseisva seadmena.

H510 on mõeldud kinnitaiseks süvistatud seinapesale, selliselt ei pea ühtegi auku ega kruvi juurde hankima. Uuel mudelil on nüüd ka võimalik tellida tavakinnitus.

Screen Shot 2016-09-07 at 11.47.29

Suuruse võrdlus H500 mudeliga.

20161102_123941

 

 

Oma väiksuse tõttu on H510 ideaalne seade hotellides, ühikates, kodudes – BeamFlex+ nutiantenn toetab ka MESH ühendusi, seega on võimalik võrku juhtmevabalt laieneasda.  4 core protsessor tagab sujuva üheaegse 100 kliendiga töötamise.

 

Download the PDF file .

Euroopa Innovatsiooniakadeemia Üritused Torinos

9-28 juulil oli 3kgroup’i ürituste Wi-Fi know-how ja tehnika Euroopa Innovatsiooniakadeemia üritustel Torinos Itaalia tehnoloogiapealinnas.  Ehitasime ajutise Wi-Fi võrgu 500 startup arendaja jaoks, et jagada gigabitist ühendust, mille saime ülikoolilt.

Sellel üritusel sõltus kõik Wi-Fi ühendusest, sest peaaegu kõik töö toimus Interneti vahendusel. Tänapäeva tarkvara arendaja jaoks on Internet sama oluline kui õhk ja vesi.

Võrku teenindasid Zoneflex R500 Unleashed tugijaamad, koos arukate tulemüüride ja kiiruste piiramise QoS reeglitega. Kuna Itaaalia seadusandlus on väga jäik, pidime rakendama ka kogu liiklusele L7 tulemüüri reegleid, et tõkestada piraatmeedia levikut võrgus.

20160712_152852

20160711_101245 20160711_101142 20160712_155218 20160712_154638

2016 Latitude 59 konverentsi Wi-Fi

14-15 mail toimus Tallinnas Kultuurikatlas Latitude 59 IT Startupidele suunatud mitmepäevane konverents. Ruckuse Wi-Fi oli kogu konverentsi aja pidevalt saadaval ja tipphetkedel ulatus kasutajate arve 800-ni.  Kultuurikatlasse oli meie partner Lansec+ juba varem Ruckused paigaldanud ja enne üritust muudeti võrgu parameetreid ning samuti tõsteti Interneti kiirusi.

Sellise IT konvernetsi puhul on tavaline, et kõik kasutajad on peaaegu kogu aeg arvutiga või nutiseadmete Internetis.

 

_DSC6258 _DSC6262 _DSC6280 _DSC6264 _DSC6283 _DSC6304 _DSC6286 _DSC6290 _DSC6235