Защищённая беспроводная сеть без усилий
Начиная с RouterOS v6.25 заявлена поддержка WPS — прекрасной технологии по быстрому подключению клиентов без проблем с длинными паролями. Вопреки распространённой шумихе о проблемах безопасности WPS, при правильной реализации и понимании механизма его работы технология становится отличным помощником в руках сисадмина.
Существуют два вида подключения по WPS — ввод PIN-кода и нажатие кнопки WPS на маршрутизаторе. Атакам подвержена только ранняя реализация с PIN-кодом, этот вид подключения разработчики решили не реализовывать вообще и правильно сделали — никакой возможности для перебора нет. Второй способ подразумевает, что в момент подключения к точке доступа на нём программно или физически нажимается соответствующая кнопка и соединение клиента с точкой происходит полностью автоматически. Именно этот способ мы и будем использовать в своей работе. Под катом детальная инструкция по настройке и использованию WPS на Mikrotik.
Как это работает
Физическая кнопка для WPS появилась только в нескольких последних маршрутизаторах Mikrotik, во всех остальных её нужно нажимать программно. Причём администратору должно быть удобно её нажимать, не заходя каждый раз в настройки роутера. Реализацию этой идеи я и выполнил, суть сводится к следующему: на точку доступа ставится сложный пароль WPA2, например 32 символа (максимальные 64 лучше не ставить, не все клиенты понимают такую длину, хотя по стандарту должны), затем на рабочем столе администратора нажимается ярлык WPS и нужный клиент должен в течении двух минут подключиться к нашей точке. Во избежание подключения сторонних клиентов лучше делать немного наоборот — сначала клиент пытается подключиться к точке доступа (ожидается ввод пароля или нажатие кнопки WPS), затем администратор нажимает у себя WPS и клиент тут же мгновенно подключается к сети. Ярлык на столе приведён для примера, реализация может быть какой угодно, от SMS до управления с телефона.
Базовые требования
Первое, что нам нужно сделать — обновить RouterOS до версии v6.25 или выше. Затем со страницы загрузок скачать тестовый пакет Wireless CAPsMANv2 (wireless-cm2-*.npk) и добавить его к пакетам. Поддержка WPS появилась только во второй версии CAPsMAN, поэтому первая версия (wireless-fp-*.npk) будет автоматически отключена, как и стандартный wireless-*.npk. Переход между пакетами можно осуществлять удалённо, после перезагрузки все настройки точек доступа сохраняются.
Определение интерфейса
Второе — нам нужно определить, какому интерфейсу будем «нажимать» WPS. Дело в том, что из интерфейса WinBox можно нажимать WPS только для основной точки доступа, хотя их может быть сколько угодно. Для этого в терминале пишем «int wir pr», что сокращённо означает interface wireless print — в RouterOS можно вводить только часть команды, если она уникальна. Запоминаем номер нужного нам интерфейса, именно ему будет отправляться команда WPS. Допустим нам нужен номер 0, он и будет использоваться далее в примере.
Последние штрихи
Третье. Создаём отдельного пользователя конкретно для команды WPS. Действие опционально, но так безопаснее. Создаём группу wps, которой даём только такие права: ssh, read, test. Создаём пользователя wps и добавляем его в эту группу. Заодно проверяем, чтобы в микротике был включен ssh (ip services), редактируем разрешённый диапазон адресов для входа и при необходимости ставим нестандартный порт.
Двойным щелчком
На самом маршрутизаторе всё готово, осталось только подключиться к нему и отправить команду. Для этой цели отлично подойдёт putty или его консольный аналог plink. Командная строка будет выглядеть следующим образом:
putty.exe -ssh 192.168.1.1 -l wps -pw password -m wps.txt
Рядом создаём файл wps.txt с таким содержимым: «int wir wps 0», где 0 — номер нашего интерфейса, а сама команда сокращена от interface wireless wps-push-button. И создаём на рабочем столе ярлык с это командной строкой с открытием окна, свёрнутого в значок — так окно не будет мелькать, особенно в случае plink. При первом запуске нужно будет запомнить ключ ssh, остальные будут происходить автоматически и мгновенно выполнять нашу команду. Для нестандартного порта используйте ключ -P, а в случае необходимости смотрите документацию.
Следует заметить, что клиент тоже должен поддерживать WPS для такого быстрого подключения. Его поддерживают практически все устройства на Android, а вот iOS не поддерживает совсем. Для Windows-клиентов необходима поддержка WPS адаптером — старые модули могут его не видеть, но большинство ноутбуков поддерживают без проблем. Характерный признак — при подключении к точке доступа под паролем должно появиться сообщение, что кроме пароля также можно нажать кнопку WPS на маршрутизаторе. Если этого сообщения нет — чудо не произойдёт.
Итоги
В организациях особенно важно уделять должное внимание беспроводным сетям, а слабые пароли составляют основную угрозу безопасности. С такой настройкой WPS администратор может выставить сложнейший пароль и одним движением подключать новую технику без риска компрометации пароля.
Автор: simplix
