Cisco Aironet 1200AP, WPA-PSK probleem - Netwerken

vrijdag 14 december 2007 16:25

Acties:

Attack | Exploit | Pwn

Topicstarter

Sinds enige tijd hebben we een testopstelling met wireless staan. WEP gaat hiermee probleemloos, WPA-PSK krijg ik echter niet werkend. Hopelijk hebben jullie nog tips

Opstelling:
Acces point: Cisco Aironet 1200
Clients: Wyse V10L wireless thin clients met Wyse ThinOS

Test
Configuratie van het AP heb ik via de webinterface gedaan.

Onder Encryption Manager ingesteld dat TKIP gebruikt moet worden

Onder SSID Manager ingesteld dat het Open Authentication is met controle op MAC adres.
Key management ingesteld op Mandatory en WPA. Vervolgens een testkey ingegeven.
Als ik op "save" druk en opnieuw de instellingen bekijk is dat veld leeg. Is dit "by design"? Bij WEP blijven daar namelijk kruisjes instaan.

Op internet vond ik nog de volgende tekst. Ik snap alleen niet of ze bedoelen dat heel WPA dan niet werkt of alleen WPA + Radius/802.1x

The Cisco Aironet 1200 AP does not support WPA and RADIUS/802.1x without the use of a third-party supplicant such as the Funk Odyssey Client (http://www.funk.com) Refer to these vendors for client-side configuration to support WPA and RADIUS/802.1x

Verder nog QoS uitgezet op de radio interface, werd ook nog ergens als tip gegeven.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 17 december 2007 09:24

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Bescheiden schopje, iemand een idee?

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 17 december 2007 15:44

Acties:

Wirehead

Zou moeten werken, kan je eventueel de relevante stukken uit de config copy pasten? (meerbepaald de Dot11radio0 en dot11 ssid Uw_SSID) ?

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

maandag 17 december 2007 16:23

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Ben niet thuis in de cli maar even wat gegoogled en het volgende tevoorschijn getoverd (gebaseerd op WEP instellingen):
Morgenvroeg stel ik nogmaals WPA PSK in en zal die config ouput dan ook posten (mits dit de delen waren die jij zocht)

code:

dot 11 ssid [de naam]
authentication open mac_address mac_methods
guest mode


interface dot11radio0
no ip address
no ip route cache
!
encryption key 1 size 128 bit 7 [wep key] transmit key
encryption mode wep mandatory
!
speed basic - 1.0 2.0 5.5 6.0 9.0 11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2422
station role root acces-point
antenna gain 8
no dot11 qos mode
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 17 december 2007 20:52

Acties:

Wirehead

Voor wpa zou je het volgende onder dot11 ssid moeten hebben:
-authentication open
-authentication key-management wpa
-guest-mode (zodat je je ssid ziet; dit "hidden" zetten heeft toch niet veel zin

het is immers altijd zichtbaar)
-wpa-psk ascii 7 eenmaalingegevenjeencryptedkey

onder de dot11radio0 interface het volgende:
encryption mode ciphers tkip

al raad ik je wel encryption mode ciphers aes-ccm aan (WPA2 a.k.a. WPA-AES, indien natuurlijk je network devices dit ondersteunen.)

Mac-based protection is niet meer van toepassing tegenwoordig, en geeft je alleen maar meer kopzorgen bij het toevoegen van een extra device.

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

maandag 17 december 2007 21:27

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Ok ga ik morgen even proberen. Ik ben alleen niet echt thuis in Cisco cli (uberhaupt niet in Cisco devices) dus doe alles webbased. Ik hoop dat ik iig die key terug kan zien, die zag ik namelijk in de webinterface niet....

Morgenochtend een update

Ik weet btw dat een macfilter niet veel helpt maar ja, nu we noodgedwongen nog even met wep zitten heb ik die toch maar aangezet als extra.
WPA2 betwijfel ik dus een beetje aangezien ik op de clients geen Funk Odessey client heb. Al wel een keer alles volgens Cisco handleiding ingesteld maar dat ging niet. Eerst maar eens kijken of WPA PSK werkt

Bedankt!

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 18 december 2007 09:13

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Het lijkt er op dat ik alles via de webinterface kon instellen behalve de WPA-PSK. Zie de volgende output, encryption key ontbreekt:

code:

dot11 ssid [naam]
authenticaton open mac-address mac_methods
authentication key management wpa
guest mode

dot11radio
encryption mode ciphers tkip

Vervolgens heb ik opgezocht hoe ik via cli een wpa-psk in kan voeren maar daar loop ik vast, hij lijkt het ssid niet te kennen.

ap# configure terminal
ap(config)#interface dot11radio 0
ap(config-if)# ssid [naam]

Na invoer van bovenstaande moet hij doorspringen naar ap(config ssid)# maar dat gebeurd dus niet. Doe ik het ssid in hoofdletters dan maakt hij een nieuw ssid aan. Enig idee wat hier fout gaat? Is er een commando om de ingestelde ssid's te zien?
Onderstaande commando's kan ik nu dus even niet uitvoeren, die zijn verder wel correct?

ap(config-ssid)# wpa-psk ascii [key]
ap(config)# interface dot11radio 0
ap(config-ssid)# ssid [naam]
ap(config-if)# exit
ap(config)# broadcast-key vlan0 87 membership-termination
copy running-config startup-config

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 18 december 2007 10:33

Acties:

Wirehead

een wpa-psk key moet je ingeven onder
dot11 ssid JeSSID, niet onder je dotradio interface

je geeft hem in op volgende manier:
wpa-psk ascii JeClearTextPassword

daarna wordt het omgezet naar een encrypted by default.

Upgrade in ieder geval wel je IOS versie ervan, ik weet dat bij de oude IOS'en voor de Accesspoints de configuratie kan afwijken.

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

dinsdag 18 december 2007 17:16

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Het commando werkt inderdaad maar dan verschijnt de melding "not supported with Mac address authentication configured" dus zal ik over moeten naar EAP oid. Ik duik de configuratie examples van Cisco maar weer eens in en zal ondertussen toch eens pushen om een Cisco consultant hier te krijgen indien men het snel opgelost wil hebben

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 18 december 2007 20:04

Acties:

Wirehead

Als je toch naar WPA overschakelt, werk dan gerust zonder die Mac authentication (dus eerst verwijderen voor je WPA instelt). Trouwens, voor wpa heb je geen extra's ala Funk Odyssey nodig, indien de drivers en wifikaart dit ondersteunen, werkt dit out-of-the box.

Indien je je huidige config post (natuurlijk zonder passphrases) kan ik die gerust instellen voor WPA-TKIP / WPA-AES. Om voor enkele AP's een Cisco consultant in te huren, is nu ook weer net iets teveel van het goede

; gewoon wat common sense is genoeg

[ Voor 4% gewijzigd door Wirehead op 18-12-2007 20:05 ]

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

dinsdag 18 december 2007 20:17

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Hehe dank je, ik zal morgen eens even kijken wat ik tevoorschijn kan toveren. Probleem is een beetje dat ik eigelijk niet zo veel met netwerken doe en als je dan opeens een AP in de schoot geworpen krijgt met thin clients, welke ook voor het eerst met wireless zijn uitgerust, dan ben je daar toch veel tijd aan kwijt om alles uit te zoeken

Ik doe iig Cisco kennis en meer wireless ervaring op, dat is nooit weg.

Ik post morgen weer even een update en zal me nog wat verder inlezen in EAP en Radius, dan heb ik bijna alle instellingen wel gehad

Ter volledigheid zal ik dan ook even posten wat die thin clients aankunnen.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

woensdag 19 december 2007 19:38

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Ik heb inmiddels het nodige gelezen en probeer het binnenkort via de webinterface in te stellen. Rond de kerst zal het wel rustig zijn hoop ik

Mocht het lukken dan post ik in dit topic even de link, een Cisco document.

_{Wirehead: zou jij DM aan willen zetten? Mocht er iets niet lukken dan kan ik een berichtje sturen. Bedankt voor de hulp in dit topic, ben je ooit in NL en in de buurt van Middelburg, kom maar een biertje doen}

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 27 december 2007 13:56

Acties:

sh4d0wman

Attack | Exploit | Pwn

Topicstarter

Alles is inmiddels gelukt, om de searchfunctie van GoT nuttig te houden, hierbij de aanvullende informatie.

Met behulp van dit document is het uiteindelijk gelukt om een goed werkende WPA2 opstelling te krijgen. http://www.cisco.com/en/U...ple09186a008054339e.shtml

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.