UniFi: Endlich! Support für wpa3

So wie ich warteten vermutlich einige UniFi-Nutzer auf die Verfügbarkeit von WPA3 als Sicherheitsoptimierung der Drahtlosinfrastruktur. Ubiquiti hat mit der aktuellen Controllerversion – deutlich nach den Platzhirschen im „echten Enterprisesegment“ – das Feature für deutlich mehr und ältere Geräte als zuerst erwartet bereitgestellt. Welche Access Points und Softwareversion nötig sind, habe ich in diesem Beitrag aufgeführt.

Controller-Update und Firmware-Update notwendig

Für die Nutzung von WPA3 müssen sowohl der UniFi-Controller, als auch die Access Points auf aktuellen Stand gebracht werden. Mindestvoraussetzung dafür ist die Controllerversion 6.1.61 und die Gerätefirmware 5.43. In den Release notes finden sich weitere Informationen dazu.

Unterstütze Access Points

Noch vor Kurzem hieß es, nur die neuen Access Points der WiFi6-Serie (bisher UniFi 6 Lite und UniFi 6LR) würden in den Genuss des Features kommen. Liest man die Release notes aber genau, werden erheblich mehr Geräte die WPA3-Unterstützung erhalten.

Geräte mit WPA3-Support

  • UAP-AC-Pro
  • UAP-AC-Lite
  • UAP-AC-LR
  • UAP-AC-EDU
  • UAP-AC-M
  • UAP-AC-M-Pro
  • UAP-AC-IW, UAP-AC-IW-Pro
  • UAP-AC-HD
  • UAP-AC-SHD
  • UAP-XG
  • UWB-XG
  • UAP-nanoHD
  • UAP-HD-IW
  • UAP-FlexHD
  • UAP-BeaconHD
  • U6-Lite
  • U6-LR

Wo finde ich den Menüpunkt?

In den Controllereinstellungen unter den WLAN-Netzen findet sich, sofern man in die Einstellungen der jeweiligen SSiD wechselt der Menüpunkt unter den erweiterten Optionen (engl. Advanced Options) wieder.

Achtung bei der Aktivierung!

Sollten sich nicht nur neue Geräte (erschienen ab 2020) und zum Beispiel IoT-Geräte im Netzwerk befinden, kann es bei der Aktivierung von WPA3 ohne den Geräten und verbauten Chipsätzen Aufmerksamkeit zu schenken zu Problemen kommen. WPA3 wird nicht von jedem Client unterstützt. Leider sind auch die mittlerweile gängigen IoT-Devices meist nur mit einem 2,4GHz-Chip und meist nur einem IEEE 802.11a/b/g/n-Chip ausgestattet. Diese Geräte werden – sofern es nicht wider Erwarten eine gute Updatepolitik bei den Herstellern gibt und dort keine „sell and forget“-Mentalität vorherrscht – WPA3 vermutlich nie mehr beigebracht bekommen. Im Gegensatz zum WiFi6 (IEEE 802.11ax)-Standard muss für WPA3 nur die Software bereitgestellt werden – und das Gerät von Haus aus leistungsstark genug für die Verschlüsselung/Entschlüsselung ausgelegt worden sein. Ein Update kann daher erfolgen, wird aber grade bei günstigen Consumergeräten und IoT-Devices leider in der Praxis meist nicht flächendeckend umgesetzt.

Gibt’s einen Workaround?

Prinzipiell gibt es den. Allerdings nicht (sinnvoll) für jedes Gerät. Viele mittlerweile zuhause eingesetzten Geräte arbeiten auf Basis von Multi-/Broad-/Anycasts, benötigen daher das Pendant – z.B. die passende App auf dem Smartphone zur Steuerung – im gleichen Subnetz bzw. VLAN. Kann man IoT-Geräte und produktiv genutzte Geräte sinnvoll trennen ohne zuviel Komfort aufzugeben, empfiehlt es sich, ein eigenes IoT-Geräte-WLAN mit eigener SSiD, eigenem VLAN und anderem Kennwort zu betreiben, als die Produktivgeräte. Diese können meist bereits (eher) mit WPA3 umgehen und sind meist etwas schützenswerter, als z.B. die Waschmaschine im IoT-Netz. Das produktive WLAN kann dann auf WPA3 umgestellt werden (SAE oder Enterprise, zuhause meist eher SAE als Nachfolger vom preshared-key). Manche ältere Geräte (z.B. iPad 2/iPad mini 2 und älter z.B.) können allerdings mit den bei WPA3 verpflichtenden Protected Management Frames (PMF) nicht mitreden. Vielleicht muss in dem Fall dann vor dem WPA3-Umstieg ein neues iPad her.