PMKID ist ein Begriff, der mir bis vor kurzem selbst nicht geläufig war. Im Zuge der jüngsten Sicherheitsprobleme mit WPA2 ist er jedoch von vielen Publikationen als eines der Probleme identifiziert worden. Die jüngste Version von MikroTik RouterOS 6.42.7 erlaubt per Kommandozeile, die PMKID zu deaktivieren.
Laut Forum soll dies dabei helfen, die Angriffsfläche zu minimieren, kann aber Verbindungsprobleme mit manchen Clients mit sich bringen. WinBox oder WebFig bieten derzeit noch keine Option, die Einstellung vorzunehmen.
Ich bin kein Sicherheitsexperte, vermag also nicht zu sagen, ob das Ganze negative Folgen hat – Einsatz auf eigene Gefahr!
Das Deaktivieren der PMKID bei Setups mit CAPsMAN erledigt man mittels
/caps-man configuration set [find] security.disable-pmkid=yes
Die WLAN-Verbindung wird dann kurz getrennt. Um zu sehen, ob sich danach alle Clients ordnungsgemäß wieder verbinden genügt ein
/caps-man registration-table print interval=1
Auf Access Points ohne CAPsMAN dürfte der Befehl entsprechend
/interface wireless security-profiles set [find] disable-pmkid=yes
lauten, die Abfrage der verbundenen Clients erfolgt per
/interface wireless registration-table print interval=1
Über Rückmeldungen und weitere Details in den Kommentaren freue ich mich.
Servus Florian,
doch, in Winbox gibt es dafür eine Checkbox, ganz unten… (sieht jedoch etwas deplatziert aus) ;-)
Danke für die Info – im Changelog stand “CLI only”, daher hab ich gar nicht geschaut :-)
Nach fünf Monaten kann ich berichten, dass es in meinen Netzen mit deaktivierter PMKID bisher keinerlei Probleme gab, mit einer recht großen Mischung an Clients und Betriebssystemen.