Безопасная безопасная беспроводная сеть 
Начиная с RouterOS v6.25 заявлена поддержка WPS — отличной технологии для быстрого подключения клиентов без проблем с длинными паролями.
Вопреки распространенному шумихе о проблемах безопасности WPS, при правильном внедрении и понимании механизма ее работы технология становится отличным помощником в руках системного администратора.
Существует два типа подключения WPS – ввод PIN-кода и нажатие кнопки WPS на роутере.
Только ранняя реализация с PIN-кодом подвержена атакам; разработчики решили вообще не реализовывать этот тип подключения и правильно сделали — возможности брутфорса нет. Второй способ подразумевает, что в момент подключения к точке доступа программно или физически нажимается соответствующая кнопка и клиент подключается к точке полностью автоматически.
Именно этот метод мы будем использовать в своей работе.
Ниже под катом подробная инструкция по настройке и использованию WPS на Микротике.
Как это работает
Физическая кнопка WPS появилась только в последних нескольких роутерах Mikrotik; во всех остальных его надо нажимать программно.Причем администратору должно быть удобно нажимать ее, не заходя каждый раз в настройки роутера.
Я реализовал эту идею, суть сводится к следующему: на точке доступа устанавливается сложный пароль WPA2, например 32 символа (максимум 64 лучше не ставить, не все клиенты понимают такую длину, хотя по стандарту должны), затем на рабочем столе администратора нажимается ярлык WPS и нужный клиент должен подключиться к нашей точке в течение двух минут. Чтобы избежать подключения сторонних клиентов, лучше поступить немного наоборот - сначала клиент пытается подключиться к точке доступа (ждёт ввода пароля или нажатия кнопки WPS), затем администратор нажимает WPS и клиент мгновенно подключается к сети.
Ярлык на столе приведен в качестве примера; реализация может быть любая от смс до управления с телефона.
Базовые требования
Первое, что нам нужно сделать, это обновить RouterOS до версии 6.25 или выше.Затем с скачать страницы скачайте тестовый пакет Wireless CAPsMANv2 (wireless-cm2-*.
npk) и добавьте его в пакеты.
Поддержка WPS появилась только во второй версии CAPsMAN, поэтому первая версия (wireless-fp-*.
npk) будет автоматически отключена, как и стандартная wireless-*.
npk. Переход между пакетами может осуществляться удаленно; после перезагрузки все настройки точки доступа сохраняются.
Определение интерфейса
Во-вторых, нам нужно определить, на какой интерфейс мы будем «запихивать» WPS. Дело в том, что из интерфейса WinBox можно нажать WPS только для основной точки доступа, хотя их может быть сколько угодно.Для этого в терминале напишите «int wir pr», что является сокращением от Interface Wireless Print — в RouterOS можно ввести только часть команды, если она уникальна.
Запоминаем номер нужного нам интерфейса, именно на него будет отправлена команда WPS. Допустим, нам нужен номер 0, он будет использоваться далее в примере.
Последние штрихи
Третий.Специально для команды WPS создаем отдельного пользователя.
Действие необязательное, но оно безопаснее.
Создаем группу wps, которой даем только права: ssh, read, test. Создайте пользователя wps и добавьте его в эту группу.
Заодно проверяем, включен ли ssh (ip-сервисы) в Микротике, редактируем разрешенный диапазон адресов для входа и при необходимости задаем нестандартный порт.
Двойной клик
На самом роутере всё готово, остаётся только подключиться к нему и отправить команду.Для этой цели отлично подойдет Putty или его консольный аналог plink. Командная строка будет выглядеть так:
Далее создаем файл wps.txt со следующим содержимым: «int wir wps 0», где 0 — номер нашего интерфейса, а сама команда — сокращение от Interface Wireless wps-push-button. И этой командной строкой создаём ярлык на рабочем столе и открываем свёрнутое в иконку окно - так окно не будет мерцать, особенно в случае с плинком.putty.exe -ssh 192.168.1.1 -l wps -pw password -m wps.txt
При первом запуске вам нужно будет запомнить ключ ssh, все остальное произойдет автоматически и моментально выполним нашу команду.
Для нестандартного порта используйте ключ -P и при необходимости смотрите документацию.
Следует отметить, что для такого быстрого соединения клиент также должен поддерживать WPS. Его поддерживают почти все устройства Android, но iOS его вообще не поддерживает. Windows-клиенты требуют поддержки WPS адаптером — старые модули могут его не видеть, но большинство ноутбуков поддерживают его без проблем.
Характерным признаком является то, что при подключении к точке доступа с паролем должно появиться сообщение о том, что помимо пароля можно также нажать кнопку WPS на роутере.
Если этого сообщения не будет, чуда не произойдет.
Полученные результаты
В организациях особенно важно уделять должное внимание беспроводным сетям, а слабые пароли представляют собой серьезную угрозу безопасности.Благодаря такой настройке WPS администратор может установить сложный пароль и подключить новое оборудование одним движением без риска компрометации пароля.
Теги: #mikrotik #wi-fi #wps #информационная безопасность
-
Преимущества Публикации В Блоге
19 Oct, 24 -
Ставим Cpu-Fan От Сокета 1155 На Lga775
19 Oct, 24
