Inleiding
In een eerder artikel schreef ik over mijn thuisrouter die ik van een nieuwe, uitgebreidere en veiligere firmware heb voorzien. Op 16 oktober 2017 werd bekend dat er een ontwerpfout zit in het WPA2-protocol, dat gebruikt wordt voor het versleutelen van zo'n beetje alle WLAN-dataverkeer (WiFi). Natuurlijk ging ik direct op zoek naar een mogelijkheid om mijn apparatuur te beveiligen.
Op het forum van OpenWrt vond ik een actieve discussie over het beveiligingslek, en melding van een beschikbare patch in het LEDE-project. Was hier sprake van nóg een alternatieve firmware?
LEDE-project
Het LEDE-project is een herstart van OpenWrt. De actuele ontwikkeling vindt in het nieuwe project plaats, binnen afzienbare tijd zal de oude naam verdwijnen. De interne structuur en de onderlinge communicatie tussen ontwikkelaars en community zijn veranderd, lees verbeterd.
Zyxel NBG6716
Omdat de nieuwe firmware voortbouwt op het oude project, was een upgrade niet al
te moeilijk. Via System
→ Backup/Flash firmware
upload je de
nieuwe firmware en behoudt de huidige instellingen (Keep settings).
Eventuele waarschuwingen over bestaande Samba-template bestanden kun je zonder
problemen negeren.
Daarna moeten een aantal pakketten opnieuw worden geïnstalleerd (System
→
Software
). Denk daarbij om als eerste de pakketlijsten te verversen. Dit kan
via een knop, of via SSH: opkg update
.
kmod-usb-core
: basisondersteuning voor USB apparatenkmod-usb-storage
: ondersteuning voor verwisselbare mediakmod-usb2
: ondersteuning voor USB2.0block-mount
: scripts voor het koppelen van apparaten en partitiessamba36-server
: server voor het delen van mappen en printersluci-app-samba
: uitbreiding van webinterface voor het beheren van Sambakmod-fs-ext4
: ondersteuning voor het EXT4-bestandssysteemwget
: universeel download-tool, zie deze wiki-pagina voor meer informatieca-certificates
: basisverzameling SSL-certificaten, ziewget
hierboven
Tot slot moet ook nog de CRON-service worden gestart en geactiveerd:
/etc/init.d/cron start
/etc/init.d/cron enable
KRACK-fix
Nog geen 24 uur na het bekend worden van de WPA2-kwetsbaarheid, hebben de ontwikkelaars al een patch aan de ontwikkel-versie toegevoegd. Een paar uur later verscheen een forumpost met instructies om de patches te installeren.
In het kort komt het neer op het opnieuw installeren van twee pakketten: wpad
(of wpad-mini
) en hostapd-common
. Dit gaat, net zoals hierboven beschreven
via System
→ Software
voorafgegaan door een actualisatie van de pakketlijsten.
Naspel
Mijn 'nieuwe' router had al zijn oude instellingen meegenomen. Het bedrade,
draadloze en gasten-netwerk, geplande taken, de USB-netwerkshare via Samba. Maar
de verbinding met de netwerkmap wilde niet meer tot stand komen. In het syslog
zag ik de volgende foutmelding:
VFS: cifs_mount failed w/return code = -13
Na lang zoeken en diep nadenken schoot mij de uiteindelijke oplossing te binnen. Als de Samba-server opnieuw was geïnstalleerd en zijn configuratie werd terug geplaatst vanuit een backup (Keep settings), zouden dan ook de wachtwoorden voor de Samba-gebruikers worden teruggezet?
Aldus voerde ik voor elke gebruiker een smbpasswd -a
uit en voilà! Mijn
CIFS-mount slaagde zonder problemen en ik kon eindelijk weer aan mijn bestanden.
Missie geslaagd!