Wifi router KRACK fix

V říjnu jsem zaznamenal bezpečnostní chybu ve WPA2, kdy je možné odposlouchávat komunikaci mezi přístupovým bodem a zařízením. Zároveň už delší dobu řeším možnost zapínání/vypínaní Wifi nezávisle na zbytku routeru. Co zkusit spojit tyto dva požadavky?

1. Možnosti

Jelikož mám stařičký router TL-WR1043ND v1 z roku 2010 a poslední oficiální firmware pochází z roku 2014 nemůžu doufat, že by byla vydána záplata.

TL-WR1043ND kontrola verze firmwaru.

Zapnutí/vypnutí Wifi v adminu routeru znamená asi 6 kliknutí a bez počítače ji prostě nezapnu. Bylo by skvělé ovládat wifi pomocí tlačítka na routeru.

Řešení dnešních dnů by bylo zakoupit nový router. Zkoušel jsem hledat router s tlačítkem pro zapnutí/vypnutí Wifi a našel jsem Zyxel NBG6515 za cenu 1339,- Kč. Existuje i KRACK patch pro tento router.

Variantou k nákupu by bylo použít alternativní firmware OpenWrt, v kterém je možné modifikovat tlačítka routeru. Kdysi jsem ho používal pro navázání a sdílení připojení k Internetu přes CDMA síť.

2. OpenWrt – LEDE

Zjistil jsem, že OpenWrt zůstal pro stará zařízení a byl transformován do nového projektu jménem LEDE (Linux Embedded Development Environment).

Rychlé zjištění na fix pro KRACK byl úspěšný. Je implementován v poslední release verzi LEDE 17.01.4.

Zda LEDE podporuje požadovaný typ routeru zjistíme zde. Limitací je velikost FLASH/RAM na 8/32, kde s 32MB RAM jsem na hraně viz. varování 4/32.

3. Stažení firmwaru

V databázi se podíváme na podrobnosti o routeru (vidíme varování ohledně velikosti RAM paměti).

TL-WR1043ND LEDE info.

Z něj vyčteme, že budeme potřebovat verzi ar71xx generic. Z hlavní stránky se přes download/ar71xx/generic proklikáme k seznamu, ve kterém už vidíme soubory pro námi hledaný router.

TL-WR1043ND LEDE firmware list.

Pro mou verzi TL-WR1043ND v1 vidíme dva soubory:

Pokud instalujeme nový firmware přez originální použijeme soubor factory při upgradu sysupgrade. Stáhnu tedy tl-wr1042nd-v1-squashfs-factory.bin a zkontroluji sha256 hash.

Jak zkontrolovat kontrolní součet ve Windows.

Sha256 check.
Sha256 check ok.

4. Instalace firmwaru

Nejprve je dobré provést zálohu současného nastavení v adminu routeru.

TL-WR1043ND záloha nastavení.

Bližší informace pro instalaci nového firmwaru najdeme v LEDE dokumentaci.

Vybereme stažený soubor s novým firmwarem a dáme upgrade.

Vybraný nový firmware.

Upgrade je hotov, restartujeme.

Upgrade firmwaru se povedl.

Po dokončení nahrání firmwaru a restartu se zkusíme poprvé přihlásit na 192.168.1.1 jako root a v System -> Administration změníme heslo.

První přihlášení do LEDE.
Změna hesla do LEDE.

Tím máme nový LEDE firmware instalovaný a můžete ho nastavit podle svých představ. Pro moje účely jako Access Point Only.

5. Tlačítko

Pro změnu funkčnosti tlačítka QSS na čele routeru použijeme package wifitoggle. Instalace bude prováděna přes SSH pomocí PuTTY.

Putty konfigurace spojení.

LEDE vzdálený terminál.

Konfiguraci lze provést přes:

Z výpisu vidíme, že se má Wifi po 600 s vypnout. Proto nastavíme timer na 0, čímž vypínání deaktivujeme. Změny provedeme a uložíme:

Stiskem tlačítka vyzkoušíme novou funkčnost. Výsledek předčil mé očekávání. Wifi se vypne okamžitě po stisku tlačítka. Po zapnutí je zpět a do 10 s, se je na ní schopen přihlásit telefon.

TL-WR1043ND s LEDE paměť.

6. Závěr

Zhruba po 1.5 hodině máme k dispozici patchnutý router s možností vypínání Wifi tlačítkem na routeru.

One thought on “Wifi router KRACK fix”

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *