Berichten

Nieuwe firmware voor nieuwe en legacy Alcatel-Lucent Enterprise WLAN switch platforms

Alcatel-Lucent Enterprise heeft firmware versie AOS-W 6.4.4.12 uitgebracht. Deze versie is geschikt voor de nieuwste generatie 40xx en 4×50 series WLAN switches, voor bestaande en end-of-sale modellen en voor de 4xo4/S3 en 4306. Naast de gebruikelijke bugfixes en regulerende updates, biedt deze versie de volgende nieuwe functionaliteiten:

DHCP – Karakter limiet voor DHCP optie
Vanaf AOS-W versie 6.4.4.12 wordt het aantal toegestane karakters van het tekstveld onder de DHCP pool optie uitgebreid van 128 naar 256.

IPSEC – Geforceerde tunnelmodus
Vanaf AOS-W versie 6.4.4.12 kan de site-to-site IPsec SA omgezet worden naar geforceerde tunnelmodus, zelfs wanneer het beschermde netwerk/masker en het peer IP adres gelijk zijn. Standaard wordt de transportmodus gebruikt. De geforceerde tunnelmodus moet op beide peers aan of uit gezet worden, anders kan een tunnel niet opgezet worden. De site-to-site IPsec SA kan tussen geforceerde tunnelmodus en transportmodus geschakeld worden door de Force Tunnel Mode parameter te gebruiken.

Als de Force Tunnel Mode parameter aan staat, wordt een IPsec tunnel opgezet in forced tunnelmodus in plaatst van transportmodus. Standaard staat de Force Tunnel Mode parameter uitgeschakeld. De Force Tunnel Mode parameter kan zowel vanuit de GUI als de CLI geconfigureerd worden.

Nieuw CLI commando
Het volgende nieuwe CLI commando is geïntroduceerd in AOS-W versie 6.4.4.12: Show iap subnetDit commnando helpt het onderzoeken van IAP-VPN gedistribueerde L3 Branche ID (BID) toewijzing gerelateerde kwesties. Dit commando biedt een verhoogd detailniveau bij het zoeken van het BID dat door de controller toegewezen is.

WebUI – NAS IP adres
Vanaf AOS-W versie 6.4.4.12 kan het NAS IP adres van een branch office switch met een VLAN geconfigureerd worden. Als een NAS IP VLAN niet geconfigureerd is voor een branch office switch, dan wordt het IP adres dat in de RADIUS configuratie is gedefinieerd, gebruikt als het NAS IP adres.

Op onze supportsite vindt u onder andere de release notes en de firmware van AOS-W versie 6.4.4.12 →

Nieuwe AOS-W versie biedt vervanging voor ingetrokken geldigheid certificaat

tech-update

Alcatel-Lucent Enterprise heeft AOS versie 6.4.4.10 beschikbaar gesteld. Deze nieuwe versie verhelpt de kwestie rondom de ingetrokken geldigheid van een standaard certificaat dat geleverd werd bij de firmware voor alle WLAN switches en dienst doet als placeholder voor een door de eindgebruiker zelf te installeren certificaat. De nieuwe firmware versies voor alle modellen zijn te downloaden via onze supportpagina.

Vervangend certificaat

Een certificaat wordt gebruikt om verbindingen met de web user interface van de WLAN switch te versleutelen, om inloggegevens te beschermen bij captive portal login en voor het beveiligen van de sessie bij het inloggen via een RADIUS server. Het vorige certificaat werd door uitgever GeoTrust ongeldig verklaard in verband met het feit dat de private sleutel bekend was geworden. Met AOS versie 6.4.4.10 wordt een nieuw certificaat meegeleverd die het ongeldig verklaarde certificaat vervangt. Meer informatie over het ongeldig verklaarde certificaat is te lezen in de security advisory.

Bij het gebruik van het door de WLAN switch uitgegeven certificaat, kunnen de volgende kanttekeningen worden geplaatst:

  • Als MacBook of iOS apparaten met een captive Portal verbinding maken, verschijnt de CNA (Captive Network Assistant) pop-up niet. Hierdoor moet eerst een browsersessie geopend worden om doorverwezen te worden naar de Captive Portal.
  • Als de Captive Portal custom welkomstpagina in Mac Safari 8.1 geconfigureerd is, zal de beveiligingswaarschuwing direct verschijnen bij het openen van de welkomstpagina.
  • Authentication Survivability werkt niet goed op de switch.
  • 1X PEAP authenticatie werkt niet goed bij Windows 7 gebruikers. Hierdoor moet de valideren van het server certificaat optie bij de Windows 7 clients uitgeschakeld worden.

Meer informatie over AOS versie 6.4.4.10 en alle nieuwe diensten en bugfixes, vindt u in de release notes op onze support pagina →

Nieuwe Maintance Release AOS-W 6.4.2.5 voor Alcatel-Lucent WLAN controllers

tech-update

Voor de AOS-W4x04, 6000, 4306 en 40xx series WLAN controllers is de Maintance Release AOS-W 6.4.2.5 gepubliceerd. Met de publicatie van deze release zijn, naast bugfixes, de volgende functionaliteiten toegevoegd:

  • Authenticatie

RADIUS Server-Type attribuut

Vanaf deze release stuurt de controller de volgende Service-Type attribuut waarden mee voor RADIUS authenticatie verzoeken:

radius tabel

Controller authenticatie naar CPPM (Clear Pass Policy Manager)

De controller authenticatie naar CPPM is uitgebreid en maakt het mogelijk om configureerbare gebruikersnamen en wachtwoorden te gebruiken in plaats van het support wachtwoord. Het support wachtwoord is kwetsbaar voor aanvallen omdat het server certificaat dat CPPM aanbiedt, niet gevalideerd wordt. Om dit mogelijk te maken zijn enkele CLI commando’s toegevoegd en wijzigingen in de GUI doorgevoerd.

  • Controller datapad

Afhandelen GARPs

Gratuitous ARP wordt vaak gebruikt om binnen het subnet via broadcast de host tabel van clients te updaten. Omdat dit voor extra broadcast verkeer binnen het subnet zorgt en ARP poisining mogelijk maakt worden GARPs van tunnel-mode en D-tunnel (data-tunnel) Virtuele AP’s  bij binnenkomst gedropt als het firewall optimize-dad-frames commando op “on” staat. Deze parameter staat standaard op “on”.

  • Controller platform

NetGear AirCard 341U USB Modem support

AOS-W 6.4.2.5 introduceert ondersteuning van de NetGear AirCard 341U USB Modem op OAW-40xx controllers. Hierdoor kunnen deze controllers via de USB poort met een 4G LTE netrwerk verbonden worden.

Bekijk deze nieuwe Maintance Release op onze supportpagina →

AOS-W Instant (IAP) Draadloze DoS Aanval

tech-update

Alcatel-Lucent Enterprise heeft een probleem ontdekt met AOS-W Instant firmware die toe zou kunnen staan dat een aanvaller een access point kan laten crashen of de configuratie kan wissen via een draadloos interface. Berokken versies zijn:

  • AOS-W Instant versie 4.0.0.6 en lager
  • AOS-W Instant versie 4.1 lager dan versie 4.1.1.2

Details

Deze kwetsbaarheid staat toe dat een aanvaller een IAP kan laten stoppen te functioneren door het sturen van bewerkte misvormde frames over een draadloos interface. Onder sommige omstandigheden kan de aanvaller er voor zorgen dat het IAP cluster zijn configuratie verliest en terugkeert naar de fabrieksinstellingen. Om netwerken van klanten te beschermen verstrekt Alcatel-Lucent Enterprise geen verdere details in dit initiële advies. In overeenstemming met hun kwetsbaarheids communicatieprocedure zal Alcatel-Lucent Enterprise over 60 dagen alle details over deze kwetsbaarheid ter beschikking stellen.

Workaround

Er is geen workaround voor deze kwetsbaarheid.

Oplossing

Upgrade het cluster naar één van de volgende software versies:

  • AOS-W Instant version 4.0.0.7
  • AOS-W Instant version 4.1.1.2

U kunt deze versies vinden op onze supportpagina →

AOS-W Instant versie 6.4.2.3-4.1.1.2

tech-update

De AOS-W Instant versie 6.4.2.3-4.1.1.2 is nu beschikbaar. Naast bugfixes zijn de volgende functies en verbeteringen doorgevoerd:

Functies en verbeteringen

De volgende verbeteringen zijn doorgevoerd in versie 6.4.2.3-4.1.1.2:

Ondersteuning voor Proxybased Server voor AirGroup clients

Vanaf versie 6.4.2.3-4.1.1.2 ondersteunen de IAP’s proxy gebaseerde servers zoals Printopia of PaperCut. Met deze verbetering kan AirGroup diensten ontdekken die door deze servers geadverteerd worden.

Verbeteringen aan AppRF data voor OAW-IAP’s die door OmniVista gemanaged worden

IAP’s die door OmniVista gemanaged worden kunnen nu de bestemmingsdetails in de AppRF data naar de AMP versturen. Om historische statistieken van een door OmniVista gemanaged IAP te kunnen bekijken is het wel nodig om OmniVista versie 8.0.6.1 te gebruiken waarbij de OAW-IAP’s gebruik maken van firmware versie 6.4.2.3-4.1.1.2. OmniVista versie 8.0.6.1 laat echter niet de web categorie en web-reputatie data die door een IAP verstuurd worden zien.

Beveiliging update

In de 6.4.2.3-4.1.1.2 release is een potentiële crash in een management proces gerepareerd

Verbetering in de EAP Request Retry Time

In de 6.4.2.3-4.1.1.2 release is de EAP retry time verlaagd van 30 seconden naar 5 seconden. Hierdoor zal het OAW-IAP een nieuw EAP request versturen als er van de client op het oorspronkelijke request binnen 5 seconden geen EAP response wordt ontvangen. Hierdoor wordt er voor zorggedragen dat de 802.1x authenticatie niet vertraagd wordt.

Meer informatie vindt u op onze supportpagina →