Spring naar hoofdtekst

WPA2-KRACK - van OpenWrt naar LEDE

Geplaatst op door ,
Laatste aanpassing op .

Inleiding

In een eerder artikel schreef ik over mijn thuisrouter die ik van een nieuwe, uitgebreidere en veiligere firmware heb voorzien. Op 16 oktober 2017 werd bekend dat er een ontwerpfout zit in het WPA2-protocol, dat gebruikt wordt voor het versleutelen van zo'n beetje alle WLAN-dataverkeer (WiFi). Natuurlijk ging ik direct op zoek naar een mogelijkheid om mijn apparatuur te beveiligen.

Op het forum van OpenWrt vond ik een actieve discussie over het beveiligingslek, en melding van een beschikbare patch in het LEDE-project. Was hier sprake van nóg een alternatieve firmware?

LEDE-project

Het LEDE-project is een herstart van OpenWrt. De actuele ontwikkeling vindt in het nieuwe project plaats, binnen afzienbare tijd zal de oude naam verdwijnen. De interne structuur en de onderlinge communicatie tussen ontwikkelaars en community zijn veranderd, lees verbeterd.

Zyxel NBG6716

Omdat de nieuwe firmware voortbouwt op het oude project, was een upgrade niet al te moeilijk. Via SystemBackup/Flash firmware upload je de nieuwe firmware en behoudt de huidige instellingen (Keep settings). Eventuele waarschuwingen over bestaande Samba-template bestanden kun je zonder problemen negeren.

Daarna moeten een aantal pakketten opnieuw worden geïnstalleerd (SystemSoftware). Denk daarbij om als eerste de pakketlijsten te verversen. Dit kan via een knop, of via SSH: opkg update.

  • kmod-usb-core: basisondersteuning voor USB apparaten
  • kmod-usb-storage: ondersteuning voor verwisselbare media
  • kmod-usb2: ondersteuning voor USB2.0
  • block-mount: scripts voor het koppelen van apparaten en partities
  • samba36-server: server voor het delen van mappen en printers
  • luci-app-samba: uitbreiding van webinterface voor het beheren van Samba
  • kmod-fs-ext4: ondersteuning voor het EXT4-bestandssysteem
  • wget: universeel download-tool, zie deze wiki-pagina voor meer informatie
  • ca-certificates: basisverzameling SSL-certificaten, zie wget hierboven

Tot slot moet ook nog de CRON-service worden gestart en geactiveerd:

/etc/init.d/cron start
/etc/init.d/cron enable

KRACK-fix

Nog geen 24 uur na het bekend worden van de WPA2-kwetsbaarheid, hebben de ontwikkelaars al een patch aan de ontwikkel-versie toegevoegd. Een paar uur later verscheen een forumpost met instructies om de patches te installeren.

In het kort komt het neer op het opnieuw installeren van twee pakketten: wpad (of wpad-mini) en hostapd-common. Dit gaat, net zoals hierboven beschreven via SystemSoftware voorafgegaan door een actualisatie van de pakketlijsten.

Naspel

Mijn 'nieuwe' router had al zijn oude instellingen meegenomen. Het bedrade, draadloze en gasten-netwerk, geplande taken, de USB-netwerkshare via Samba. Maar de verbinding met de netwerkmap wilde niet meer tot stand komen. In het syslog zag ik de volgende foutmelding:

VFS: cifs_mount failed w/return code = -13

Na lang zoeken en diep nadenken schoot mij de uiteindelijke oplossing te binnen. Als de Samba-server opnieuw was geïnstalleerd en zijn configuratie werd terug geplaatst vanuit een backup (Keep settings), zouden dan ook de wachtwoorden voor de Samba-gebruikers worden teruggezet?

Aldus voerde ik voor elke gebruiker een smbpasswd -a uit en voilà! Mijn CIFS-mount slaagde zonder problemen en ik kon eindelijk weer aan mijn bestanden. Missie geslaagd!

Inhoudsopgave

Doorzoek de onderstaande categorieën om de lijst met artikelen te filteren.