OWE standardmäßig für Freifunk APs aktivieren

Hi,
nur eine kurze Frage an die Freifunk Community, gibt es irgendwelche Einwände, dagegen OWE im Transition Mode standardmäßig für APs anzuschalten?
Ich habe den gesamten Standard für OWE gelesen(Der zusammen mit dem RFC übrigens nur 20 Seiten lang ist.) und Abwärtskompatibilität kann eigentlich kein Problem sein, da jedes gerät was IEEE 802.11 konform ist die IEs, sofern es sie nicht parsen kann, einfach ignoriert.
Ich weiß das OWE nur gegen passive Attacke schützt, aber das ist schon mal besser als das jeder im Monitor Mode alles mit lesen kann.
Grüße
Simon

Diesen Thread hast du vermutlich schon gelesen.

Zumindest für mich war an dieser Stelle klar, dass ich das Thema OWE erstmal nicht anfassen werde, eben wegen der vielen Inkompatibilitäten.

IIRC ist es gerade der Transitionsmodus, den man meiden sollte, da problematisch?

Ich werde das mal testen, aber eigentlich funktioniert der Transition Mode so, dass der AP ein Offenes BSS anbietet und in alle Beacons ein OWE Transition Mode Element packt. Darin stehen dann die SSID und BSSID vom mit OWE verschlüsselten BSS. Der AP sendet für beide BSS beacons, aber meistens ist die SSID vom OWE BSS einfach auf WILDCARD gesetzt. Heißt Geräte die das nicht unterstützen sollten das Element einfach ignorieren. Wenn das hier das Problem wäre, könnte sich ein WiFi 4 Gerät nicht mit einem WiFi 5 AP verbinden, da dieser VHT Capability Elements in die Beacons packt. Ich gehe davon aus, dass die Inkompatibilität hier eher bei der AP seitigen Implementierung liegt, kann mich aber auch irren.

Karlsruhe ist vor einem Jahr von eigenen SSIDs auf den Transition Mode gewechselt.
Die können dir bestimmt einiges aus eigener Erfahrung berichten :slight_smile:

Schreib denen mal eine Mail

Ich will das für Aachen auf Dauer auch noch testen, aber wir lassen uns noch Zeit, weil wir erst letzten Monat neue Firmware ausgerollt haben. Wir können da gerne gemeinsam recherchieren und uns hier austauschen :slight_smile:
Wenn du was neues herausfindest, melde dich ruhig.

Ich will auf jedenfall testen, ob man sich noch mit Knoten verbinden kann, die keine OWE Transition Mode anbieten, wenn das Handy sich einmal mit einem Freifunk verbunden hat, dass diesen anbietet.

Wichtig ist: Praxis und Theorie unterscheiden sich immer. Selbst wenn ein Standard rückwärtskompatibel ist, sind es die Clientimplementierungen mancher Hersteller nicht immer.

Ich kann leider mit keinen Praxiserfahrungen dienen, bin aber der Ansicht, dass es OWE Transition Mode mittlerweile lange genug gibt, dass bereits wirklich viele Geräte dies zuverlässig unterstützen.
Da überwiegen die Vorteile, Verschlüsselung anzubieten, klar die Nachteile.
Falls jemand bei sich doch Probleme hat, müsste man OWE auf einzelnen Geräten auch ausstellen können. (im config mode oder per ssh)

Respondd reported auch die Zahl der OWE Clients.
Ich seh leider bei Karlsruhe keine Auswertung dieser Daten, die funktioniert. Sonst könnte man sehen, wieviel Prozent bereits OWE nutzen. Aber bei anderen Communities hab ich das schon gesehen

Darmstadt war mit dem Transition Mode sogar noch ein wenig früher :see_no_evil:

Usage über Zeit gibt es hier:

https://stats.darmstadt.freifunk.net/d/fdb81ee6-5bf2-4274-a68d-75fa3ac8d220/owe-usage?orgId=1&from=1586901600000&to=now

Aktuell nutzen so ungefähr 60% der Clients eine OWE Verbindung.

Absolute Zahlen gibt es hier:

https://stats.darmstadt.freifunk.net/d/000000017/uebersicht?orgId=1&viewPanel=48

Bei der überwiegenden Zahl an Clients tut das alles problemlos.

Es gibt aber auch Geräte die Probleme machen. Insbesondere bei Custom ROMs (alla Lineage OS) ist es öfters mal so das die Software nicht weiß was der Chip kann und dann vergeblich versucht OWE zu nutzen.
Oft kann man die Probleme umgehen indem man das offene Netz manuell mit Sicherheit „Keine“ hinzufügt. Manchmal geht das aber bei solchen Geräten auch nicht.

Zu beachten ist auch das Geräte sich in der Regel merken wenn es sich um ein Netz mit OWE bzw. OWE-TM handelt und dann künftig nur noch verbinden wenn das ebenfalls angeboten wird.
Für Legacy Geräte (alla „4/32“) - für die es kein OWE gibt - braucht es also entweder eine andere SSID (Beispiel Karlsruhe) oder Nutzer müssen damit leben das sie sich neu verbinden müssen nachdem sie einen Node mit OWE gesehen haben (oder sie könnten natürlich den Weg des manuellen Anlegens gehen).

Auf fehlenden OWE Support trifft man ebenfalls gerne bei Stock Firmware. Genannt sei hier exemplarisch Ubiquiti. Bei meinem letzten Test gab es dort nur im 6 GHz Band (WPA3/OWE ist dort verpflichtend) OWE. Für die anderen Bänder (2,4 und 5 GHz) konnte ich OWE bzw. OWE TM nicht aktivieren. Effektiv haben sie nach meinem Kenntnisstand demnach keinen OWE Support. Auch für solche Setups muss man also ggf. über einen SSID Wechsel nachdenken.

Als Nebenbemerkung: Hier sieht man die großen Vorteile auch im AP Bereich auf OpenWrt (Gluon) zu setzten. Dort ist OWE z.B. auch mit dem inzwischen 16 Jahre alten Siemens WS-AP3610 kein Problem. :wink:

In Darmstadt lassen sich die Supportfälle in all der Zeit (von denen ich gehört habe) jedoch noch an einer Hand abzählen.

Und warum tut man sich das „an“?
Einerseits aufgrund der Features von OWE an sich und andererseits weil die Verschlüsselung bei neuen Features immer mehr verpflichtend wird. Wie zuvor erwähnt ist WPA3 (bzw. OWE) für 6 GHz verlichtend und z.B. Apple lässt einen Roaming Features (802.11k, 802.11v) auch nur mit verschlüsselten Netzen nutzen. Es ist davon auszugehen dass sowas mehr wird.

3 Likes

OWE in Gluon kommt per zweiter SSID — AFAICS ohne ›ill effects‹, die beim Transitionmode berichtet wurden?

Eine manuell selektierbare sichtbare OWE SSID verursacht nicht wirklich Probleme. Nutzt aber halt auch „niemand“.
Gab es in Darmstadt vor der Aktivierung des Transition Modes. Haben 5% der Clients genutzt.
In Rhein-Neckar gibt es die separate SSID noch immer. Dort sind es aktuell 6% der Clients: https://stats.ffrn.de/d/fdb81ee6-5bf2-4274-a68d-75fa3ac8d220/owe-usage

In einem perfekten Netz mag man ggf. noch ein klein wenig mehr hinbekommen (Rhein-Neckar hat eine handvoll Unifi Setups auf der map und heute wohl noch immer mehr Legacy Knoten ohne OWE Option als Darmstadt zum Zeitpunkt der Aktivierung des Transition Modes).
Es ist jedoch eben nicht damit zu rechnen das man auch nur in die Nähe von 60% OWE Clients und steigend kommt.

Eigentlich benutzt OWE automatisch zwei BSS mit jeweils einer SSID. Das ist halt der Transition Mode. Meistens ist die OWE SSID aber versteckt.
Hier mal Zwei Auszüge aus der Spec:

  1. An OWE AP shall use two different SSIDs, one for OWE and one for Open. Both BSSs shall be advertised in their
    respective Beacon frames. Both SSIDs shall either operate in the same band and channel, or the OWE Transition
    Mode element as defined in section 2.3.1 shall include the band and channel information of the other SSID.
  2. Beacon frames from the OWE BSS shall have a zero length SSID and the RSNE shall indicate support for OWE[…].

Den ganzen Spec findet man bei der WiFi Alliance. Ist auch nur 7 Seiten lang.