V říjnu jsem zaznamenal bezpečnostní chybu ve WPA2, kdy je možné odposlouchávat komunikaci mezi přístupovým bodem a zařízením. Zároveň už delší dobu řeším možnost zapínání/vypínaní Wifi nezávisle na zbytku routeru. Co zkusit spojit tyto dva požadavky?
1. Možnosti
Jelikož mám stařičký router TL-WR1043ND v1 z roku 2010 a poslední oficiální firmware pochází z roku 2014 nemůžu doufat, že by byla vydána záplata.
Zapnutí/vypnutí Wifi v adminu routeru znamená asi 6 kliknutí a bez počítače ji prostě nezapnu. Bylo by skvělé ovládat wifi pomocí tlačítka na routeru.
Řešení dnešních dnů by bylo zakoupit nový router. Zkoušel jsem hledat router s tlačítkem pro zapnutí/vypnutí Wifi a našel jsem Zyxel NBG6515 za cenu 1339,- Kč. Existuje i KRACK patch pro tento router.
Variantou k nákupu by bylo použít alternativní firmware OpenWrt, v kterém je možné modifikovat tlačítka routeru. Kdysi jsem ho používal pro navázání a sdílení připojení k Internetu přes CDMA síť.
2. OpenWrt – LEDE
Zjistil jsem, že OpenWrt zůstal pro stará zařízení a byl transformován do nového projektu jménem LEDE (Linux Embedded Development Environment).
Rychlé zjištění na fix pro KRACK byl úspěšný. Je implementován v poslední release verzi LEDE 17.01.4.
Zda LEDE podporuje požadovaný typ routeru zjistíme zde. Limitací je velikost FLASH/RAM na 8/32, kde s 32MB RAM jsem na hraně viz. varování 4/32.
3. Stažení firmwaru
V databázi se podíváme na podrobnosti o routeru (vidíme varování ohledně velikosti RAM paměti).
Z něj vyčteme, že budeme potřebovat verzi ar71xx generic. Z hlavní stránky se přes download/ar71xx/generic proklikáme k seznamu, ve kterém už vidíme soubory pro námi hledaný router.
Pro mou verzi TL-WR1043ND v1 vidíme dva soubory:
Pokud instalujeme nový firmware přez originální použijeme soubor factory při upgradu sysupgrade. Stáhnu tedy tl-wr1042nd-v1-squashfs-factory.bin a zkontroluji sha256 hash.
Jak zkontrolovat kontrolní součet ve Windows.
4. Instalace firmwaru
Nejprve je dobré provést zálohu současného nastavení v adminu routeru.
Bližší informace pro instalaci nového firmwaru najdeme v LEDE dokumentaci.
Vybereme stažený soubor s novým firmwarem a dáme upgrade.
Upgrade je hotov, restartujeme.
Po dokončení nahrání firmwaru a restartu se zkusíme poprvé přihlásit na 192.168.1.1 jako root a v System -> Administration změníme heslo.
Tím máme nový LEDE firmware instalovaný a můžete ho nastavit podle svých představ. Pro moje účely jako Access Point Only.
5. Tlačítko
Pro změnu funkčnosti tlačítka QSS na čele routeru použijeme package wifitoggle. Instalace bude prováděna přes SSH pomocí PuTTY.
opkg update && opkg install wifitoggle Downloading http://downloads.lede-project.org/releases/17.01.4/targets/ar71xx/generic/packages/Packages.gz Updated list of available packages in /var/opkg-lists/reboot_core Downloading http://downloads.lede-project.org/releases/17.01.4/targets/ar71xx/generic/packages/Packages.sig Signature check passed. Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/base/Packages.gz Updated list of available packages in /var/opkg-lists/reboot_base Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/base/Packages.sig Signature check passed. Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/luci/Packages.gz Updated list of available packages in /var/opkg-lists/reboot_luci Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/luci/Packages.sig Signature check passed. Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/packages/Packages.gz Updated list of available packages in /var/opkg-lists/reboot_packages Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/packages/Packages.sig Signature check passed. Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/routing/Packages.gz Updated list of available packages in /var/opkg-lists/reboot_routing Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/routing/Packages.sig Signature check passed. Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/telephony/Packages.gz Updated list of available packages in /var/opkg-lists/reboot_telephony Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/telephony/Packages.sig Signature check passed. Installing wifitoggle (1-5) to root... Downloading http://downloads.lede-project.org/releases/17.01.4/packages/mips_24kc/packages/wifitoggle_1-5_mips_24kc.ipk Configuring wifitoggle.
Konfiguraci lze provést přes:
uci show wifitoggle wifitoggle.@wifitoggle[0]=wifitoggle wifitoggle.@wifitoggle[0].button='wps' wifitoggle.@wifitoggle[0].persistent='0' wifitoggle.@wifitoggle[0].timer='600' wifitoggle.@wifitoggle[0].led_enable_trigger='timer' wifitoggle.@wifitoggle[0].led_enable_delayon='500' wifitoggle.@wifitoggle[0].led_enable_delayoff='500' wifitoggle.@wifitoggle[0].led_disable_default='0'
Z výpisu vidíme, že se má Wifi po 600 s vypnout. Proto nastavíme timer na 0, čímž vypínání deaktivujeme. Změny provedeme a uložíme:
uci set wifitoggle.@wifitoggle[0].timer='0' uci commit
Stiskem tlačítka vyzkoušíme novou funkčnost. Výsledek předčil mé očekávání. Wifi se vypne okamžitě po stisku tlačítka. Po zapnutí je zpět a do 10 s, se je na ní schopen přihlásit telefon.
6. Závěr
Zhruba po 1.5 hodině máme k dispozici patchnutý router s možností vypínání Wifi tlačítkem na routeru.
Chystam se udelat podobny upgrade na openwrt …