UniFi: Protected Management Frames

Um Verbindungen zum Schlüsselaustausch und Hintergrundinformationen in drahtlosen Netzen abzusichern, wurden die sogenannten Protected Management Frames (kurz: PMF) eingeführt. Da dies allerdings für die Chipsätze durch Ver- und Entschlüsseln eine höhere Belastung bedeutet, unterstütz das nicht jedes Endgerät und nicht jeder Access Point.

Meine Erfahrungen: PMF nicht bei allen iPads

Wie kürzlich bei einer Neueinrichtung festgestellt, unterstützen das iPad Air und das iPad mini 2 noch keine Protected Management Frames. Folge ist, dass die Geräte die ausgestrahlte SSiD anzeigen, aber eine Verbindung bei der Übermittlung der Credentials/des PSKs mit einer Passwort-Fehlermeldung abbrechen. Andere Geräte können sich problemlos verbinden, akzeptieren Credentials bzw. Pre-shared Key ohne Murren. Dieses Verhalten kann durchaus auch andere ältere Geräte betreffen und muss sich nicht nur bei Apple iPads so verhalten.

Protected Management Frames konfigurieren

Im UniFi-Controller lassen sich die Einstellungen zu Protected Management Frames nach WLAN-Netzwerkgruppe definieren – ergo entweder für alle ausgestrahlten SSiDs eines APs oder für keine SSiD. Allerdings greift die Einstellung erst bei Access Points der dritten Generation im UniFi-Universum. Bedeutet, dass folgende Access Points PMF unterstützen:

Kommen also noch WIFI-5 bzw. IEEE 802.11ac-WAVE1-Geräte (2. Generation oder älter) zum Einsatz, greift das Feature einfach nicht. Bedeutet, wer z.B. eine Mischumgebung aus WAVE1 und WAVE2-Geräten betreibt, wird dieses Verhalten nur an einzelnen Stellen beobachten können.

Konfiguration in der App

In der App ist die Erklärung direkt mitgeliefert, allerdings relativ versteckt hinter einigen Menüs:

Mehr > WLAN > WLAN-Netzwerkgruppen > [Gruppenname]

Deaktiviert: Access Points verwenden kein PMF für die Teilnehmer.

Optional: Access Points verwenden PMF für alle kompatiblen Teilnehmer. Nicht PMF-fähige Teilnehmer können sich dennoch verbinden.

Erforderlich: Access Points verwenden PMF für alle Teilnehmer. Nicht PMF-fähige Teilnehmer können sich nicht verbinden.

Weitere Informationen zu PMF finden sich im Standard IEEE 802.11w-2009 (siehe: https://standards.ieee.org/standard/802_11w-2009.html).

Konfiguration über das Webinterface des UniFi-Controllers

Im Webinterface des UniFi-Controllers versteckt sich der Menüpunkt hinter dem Einstellungs-Zahnrad unten links und dem Menüpunkt „Drahtlose Netzwerke“. Darin sind die Netzwerkgruppen und Netzwerke aufgeführt. Geht man auf „WLAN-Gruppe bearbeiten“, sind die erweiterten Optionen meist ausgeblendet. Diese sind einzublenden, um den Punkt „PMF“ angezeigt zu bekommen.

Protected Management Frames verstecken sich in der WLAN-Gruppenkonfiguration

Hier ist die Konfiguration ebenfalls wie in der App näher erläutert.

Performance-Impact kann groß sein

Die Performance der Geräte kann sich erheblich verändern, wenn PMF aktiv und erzwungen sind. In der Praxis können Schwankungen von 50 Mbit/s – 300 Mbit/s je Gerät auftreten, darum sollte der Einsatz von PMF gut überlegt sein.

Achtung!

Werden über App oder Webinterface die Parameter der Netzwerkgruppen angepasst, erhalten die Access Points, die diese Gruppe ausstrahlen beim Speichern eine neue Konfiguration, fahren die Radios einmal runter, sodass laufende Verbindungen kurzfristig getrennt und danach nach Neustart der Radios unter neuen Einstellungen wieder aufgebaut werden. Bei Echtzeitkommunikation (z.B. VoIP, laufende Streams) kann das zu merkbaren Verbindungsunterbrechungen führen.

 

 

 

 

UniFi: Protected Management Frames
Markiert in: