Beveiliging Ubiquiti UniFi

woensdag 8 juli 2020 22:18

Acties:

0 Henk 'm!

Topicstarter

Twee stuks Ubiquiti UniFi AC LR AP verzorgen ons wifi-netwerk. De beta van iOS 14 attendeert mij erop dat de beveiliging van het netwerk zwak is.

Toegelicht: WPA met TKIP wordt niet als veilig beschouwd en ik zou de beveiliging op AES of WPA3 moeten zetten.

Ik heb geen controller, de accesspoints zijn zelfstandig geconfigureerd. Middels de app kan ik de beveiliging alleen openzetten, of kiezen voor WPA/WPA2 Personal, wat dus TKIP is.

Moet ik deze melding met een korreltje zout, of wel degelijk serieus nemen? En ga ik de beveilig kunnen opschroeven?

woensdag 8 juli 2020 22:52

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

Tsja wat zijn de voor en nadelen van WPA2 versus WPA3?
Zijn die voor en nadelen relevant voor jouw situatie?
- Wat voor clients heb je nog meer?
- Tegen wat voor dreiging wil je je beschermen?
- Wat voor middelen wil je eventueel inzetten om te upgraden?

Zolang we dat niet weten is het lastig om hier iets over te vinden.

[ Voor 12% gewijzigd door Boudewijn op 08-07-2020 22:53 ]

i3 + moederbord + geheugen kopen?

woensdag 8 juli 2020 23:00

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Klopt, TKIP is niet meer als veilig te beschouwen. Zegmaar vergelijkbaar met hebben van een wachtwoord ‘123’. Iedereen die wil komt binnen.

Of het veilig genoeg is voor jou, is aan jezelf. Kan je niet naar wpa2/aes?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

woensdag 8 juli 2020 23:10

Acties:

0 Henk 'm!

cleopet

Los van de discussie TKIP / WPA

je kan de controller software downloaden bij Ubiquiti en installeren op (bv) windows.
Hiermee kan je de accesspoints dan configureren met de instellingen en beveiliging zoals jij wilt.
Daarna is de software niet meer nodig voor de functionaliteit van de AP's en kan je deze evt verwijderen.

woensdag 8 juli 2020 23:12

Acties:

0 Henk 'm!

Melvin.P

Topicstarter

Bedankt voor jullie antwoorden.

We zijn gewoon particuliere gebruikers maar goede wifi-beveiliging is natuurlijk wel gewenst.

Mijn vraag is eigenlijk vooral, en die stel ik misschien niet duidelijk genoeg, of ik de beveiliging van deze accesspoints kan verbeteren.

Het antwoord op die vraag lijkt net gegeven te worden: tijdelijk een controller inregelen zou moeten werken. Dat zal ik eens proberen. Wel frappant dat de betere beveiliging niet te kiezen is bij stand-alone configuratie.

donderdag 9 juli 2020 07:59

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Als je gebruik wil maken van een controller, dan moet je de accesspoints resetten. Geen probleem op zich (heeft meer met de voorbereiding te maken), want daarna kan je de omgeving goed instellen. Overigens, als je gebruik maakt van een controller, dan kan je ze daarna niet meer met de app instellen.

Ik heb geen controller, de accesspoints zijn zelfstandig geconfigureerd.

De accesspoints kunnen alleen met een controller geconfigureerd worden. De app is ook een controller.

Eerst het probleem, dan de oplossing

donderdag 9 juli 2020 10:30

Acties:

0 Henk 'm!

Melvin.P

Topicstarter

Dat laatste begrijp ik niet. Ik zie in de iOS-app de mogelijkheid om te verbinden met een controller, of de accesspoints zelfstandig te configureren. Mij geeft dat de indruk dat de app zelf, geen controller is of kan zijn.

Volgens mij moet ik de controller-software installeren op een computer, of heb ik bijvoorbeeld een UniFi Cloud Key als controller nodig. De iOS-app als controller gebruiken zou ik leuk vinden, maar die optie zie ik niet. Zie ik iets over het hoofd?

donderdag 9 juli 2020 10:37

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Misschien handig als je dit even gaat lezen:
https://help.ui.com/hc/en...with-the-UniFi-Mobile-App

Eerst het probleem, dan de oplossing

donderdag 9 juli 2020 10:54

Acties:

0 Henk 'm!

Melvin.P

Topicstarter

Inmiddels zit ik verder te rommelen en heb ik de Controller geïnstalleerd op mijn iMac. Ik heb nu niet alle tijd om het veder uit te pluizen, maar ik zie wel dat ik nu veel meer beveiligingsopties heb, en de melding over zwakke beveiliging is nu weg.

Ik kan de iOS-app nu ook moeiteloos verbinden met de controller op mijn iMac, dus dat wekt goed.

Ook wel opmerkelijk: in de zelfstandige configuratie checkte ik regelmatig op firmware-updates maar via deze configuratie krijg ik een update van 4.0.80.10875 naar 4.3.20.11298 voor de accesspoints aangeboden.

Bedankt voor de aanbevolen link, ik ga later vandaag doornemen hoe ik de iOS-app als controller kan aanmerken.

donderdag 9 juli 2020 13:15

Acties:

0 Henk 'm!

Melvin.P

Topicstarter

Bij het lezen van de informatie, krijg ik inderdaad het idee dat je met de app een controller op een computer of bijvoorbeeld Cloud Key kunt beheren. En dat de app niet zelf een controller kan zijn. Of begrijp ik het nou echt verkeerd?

donderdag 9 juli 2020 13:22

Acties:

0 Henk 'm!

lier

MikroTik nerd

Melvin.P schreef op donderdag 9 juli 2020 @ 13:15:
Bij het lezen van de informatie, krijg ik inderdaad het idee dat je met de app een controller op een computer of bijvoorbeeld Cloud Key kunt beheren. En dat de app niet zelf een controller kan zijn. Of begrijp ik het nou echt verkeerd?

Ja

The UniFi Network Mobile app offers two modes: Standalone mode for simple and quick configuration, or the Controller mode which connects the user to their existing UniFi Network Controller

Eerst het probleem, dan de oplossing

donderdag 9 juli 2020 13:26

Acties:

0 Henk 'm!

borft

Melvin.P schreef op donderdag 9 juli 2020 @ 13:15:
Bij het lezen van de informatie, krijg ik inderdaad het idee dat je met de app een controller op een computer of bijvoorbeeld Cloud Key kunt beheren. En dat de app niet zelf een controller kan zijn. Of begrijp ik het nou echt verkeerd?

nee, je begrijpt het precies goed. Er zijn 2 mogelijkheden met de app:
1. de controller bedienen, dan heb je dezelfde mogeljikheden als direct de controller gebruiken in een browser
2. de AP's direct configureren, hierbij heb je geen controller nodig, maar je hebt minder opties en geen centraal configuratiebeheer.

Ik zou eigenlijk nooit voor optie 2 kiezen. Dat is eigenlijk zonde van het hele Unifi ecosysteem.

lier schreef op donderdag 9 juli 2020 @ 13:22:
[...]

Ja

[...]

Nee, hij heeft het wel goed. Bij standalone beheer is er geen controller.

[ Voor 12% gewijzigd door borft op 09-07-2020 13:27 ]

donderdag 9 juli 2020 13:29

Acties:

0 Henk 'm!

Melvin.P

Topicstarter

Dankjewel. De app kan dus verbinden met een controller maar geen controller zijn, zoals lier goed citeert maar misschien niet helemaal goed interpreteert.

Ik kan mij alles voorstellen bij je laatste punt, nu ik de controller-configuratie aan het proberen ben. :-)

donderdag 9 juli 2020 13:44

Acties:

0 Henk 'm!

lier

MikroTik nerd

borft schreef op donderdag 9 juli 2020 @ 13:26:
Nee, hij heeft het wel goed. Bij standalone beheer is er geen controller.

Je maakt dezelfde fout als @Melvin.P: de standalone versie is een controller en UI in een. De Unifi's worden van hieruit geconfigureerd. Zonder controller (welke vorm dan ook) kan het accesspoint niet geconfigureerd worden.

Eerst het probleem, dan de oplossing

donderdag 9 juli 2020 14:02

Acties:

+1 Henk 'm!

borft

lier schreef op donderdag 9 juli 2020 @ 13:44:
[...]

Je maakt dezelfde fout als @Melvin.P: de standalone versie is een controller en UI in een. De Unifi's worden van hieruit geconfigureerd. Zonder controller (welke vorm dan ook) kan het accesspoint niet geconfigureerd worden.

let's agree to disagree. in standalone setting is er geen configuratie propagatie naar meerdere AP's (je hoeft het AP ook niet in de controller te adopten, logisch, want er is geen controller). tevens heb je veel minder configuratie opties. MI is dat iets anders. Zie ook de website hier: https://help.ui.com/hc/en-us/articles/115012360487#2

donderdag 9 juli 2020 18:34

Acties:

0 Henk 'm!

Melvin.P

Topicstarter

Ik ga er nog wel verder mee 'tweaken', want er is een hoop mogelijk. Maar ik ben blij dat ik dit pad even op gegaan ben, want het komt inderdaad veel beter tot zijn recht op deze manier.

Voor mij blijft wel de vraag open, waarom er geen betere beveiliging mogelijk is bij zelfstandige configuratie. Nu ik in de controller-interface zit, krijg ik ook te zien: "If you disable CCMP encryption the network will fall back to the TKIP protocol, which is not secure".

Het komt op mij dus vreemd over, dat dat wel de standaard is bij een redelijk voor de hand liggende configuratie.

donderdag 9 juli 2020 18:40

Acties:

0 Henk 'm!

luxan

Melvin.P schreef op donderdag 9 juli 2020 @ 18:34:
...

Voor mij blijft wel de vraag open, waarom er geen betere beveiliging mogelijk is bij zelfstandige configuratie. Nu ik in de controller-interface zit, krijg ik ook te zien: "If you disable CCMP encryption the network will fall back to the TKIP protocol, which is not secure".

Het komt op mij dus vreemd over, dat dat wel de standaard is bij een redelijk voor de hand liggende configuratie.

Dit soort access points configureren zonder controller is geen voor de hand liggende configuratie. Ze zijn bedoeld voor +200 devices en professionele deployments. Door de betaalbaarheid van de hardware en de goede performance zijn ze ook een goede keuze voor huis-tuin-en-keuken gebruik (en slaapkamer, zolder, ze zijn geweldig.) Dat betekend echter niet dat stand-alone configuratie iets is waar veel aandacht aan besteed word door de fabrikant. Dit zie je terug in de manier waarop worden ingesteld bij stand-alone.

donderdag 9 juli 2020 19:07

Acties:

0 Henk 'm!

Melvin.P

Topicstarter

Hm, hoewel ik je standpunt begrijp ben ik het daarmee niet helemaal eens.

Doe het goed, of doe het niet, denk ik dan. Ik vind het vreemd, om zelfstandige configuratie mogelijk te maken maar de beveiliging daarbij op een niveau te houden dat je in een andere interface onveilig noemt.

Maar goed, ik ben blij dat ik door deze melding op een betere manier met dit spul aan de gang ben gegaan en vind het leuk om er verder mee te experimenteren.

donderdag 15 oktober 2020 21:47

Acties:

0 Henk 'm!

Anoniem: 561390

Melvin.P schreef op donderdag 9 juli 2020 @ 10:54:
Inmiddels zit ik verder te rommelen en heb ik de Controller geïnstalleerd op mijn iMac. Ik heb nu niet alle tijd om het veder uit te pluizen, maar ik zie wel dat ik nu veel meer beveiligingsopties heb, en de melding over zwakke beveiliging is nu weg.

Ik kan de iOS-app nu ook moeiteloos verbinden met de controller op mijn iMac, dus dat wekt goed.

Ook wel opmerkelijk: in de zelfstandige configuratie checkte ik regelmatig op firmware-updates maar via deze configuratie krijg ik een update van 4.0.80.10875 naar 4.3.20.11298 voor de accesspoints aangeboden.

Bedankt voor de aanbevolen link, ik ga later vandaag doornemen hoe ik de iOS-app als controller kan aanmerken.

Kan je aangeven waar precies in de controller je de wifi beveiliging kan veranderen? Ik zie dezelfde melding in iOS 14, dus wil mijn instellingen ook aanpassen. Ik kan het echter met geen mogelijkheid vinden in versie 6 van de controller. En de update van de APs geeft ie ook aan, maar die komt er niet doorheen lijkt het... Hij blijft hangen op de oude software versie. Het is nog niet echt zo intuïtief als Apple of Sonos software, maar dat kan ook aan mij liggen

Vraag

Alle reacties