Время на прочтение
3 мин
Количество просмотров 64K
Защищённая беспроводная сеть без усилий
Начиная с RouterOS v6.25 заявлена поддержка WPS — прекрасной технологии по быстрому подключению клиентов без проблем с длинными паролями. Вопреки распространённой шумихе о проблемах безопасности WPS, при правильной реализации и понимании механизма его работы технология становится отличным помощником в руках сисадмина.
Существуют два вида подключения по WPS — ввод PIN-кода и нажатие кнопки WPS на маршрутизаторе. Атакам подвержена только ранняя реализация с PIN-кодом, этот вид подключения разработчики решили не реализовывать вообще и правильно сделали — никакой возможности для перебора нет. Второй способ подразумевает, что в момент подключения к точке доступа на нём программно или физически нажимается соответствующая кнопка и соединение клиента с точкой происходит полностью автоматически. Именно этот способ мы и будем использовать в своей работе. Под катом детальная инструкция по настройке и использованию WPS на Mikrotik.
Как это работает
Физическая кнопка для WPS появилась только в нескольких последних маршрутизаторах Mikrotik, во всех остальных её нужно нажимать программно. Причём администратору должно быть удобно её нажимать, не заходя каждый раз в настройки роутера. Реализацию этой идеи я и выполнил, суть сводится к следующему: на точку доступа ставится сложный пароль WPA2, например 32 символа (максимальные 64 лучше не ставить, не все клиенты понимают такую длину, хотя по стандарту должны), затем на рабочем столе администратора нажимается ярлык WPS и нужный клиент должен в течении двух минут подключиться к нашей точке. Во избежание подключения сторонних клиентов лучше делать немного наоборот — сначала клиент пытается подключиться к точке доступа (ожидается ввод пароля или нажатие кнопки WPS), затем администратор нажимает у себя WPS и клиент тут же мгновенно подключается к сети. Ярлык на столе приведён для примера, реализация может быть какой угодно, от SMS до управления с телефона.
Базовые требования
Первое, что нам нужно сделать — обновить RouterOS до версии v6.25 или выше. Затем со страницы загрузок скачать тестовый пакет Wireless CAPsMANv2 (wireless-cm2-*.npk) и добавить его к пакетам. Поддержка WPS появилась только во второй версии CAPsMAN, поэтому первая версия (wireless-fp-*.npk) будет автоматически отключена, как и стандартный wireless-*.npk. Переход между пакетами можно осуществлять удалённо, после перезагрузки все настройки точек доступа сохраняются.
Определение интерфейса
Второе — нам нужно определить, какому интерфейсу будем «нажимать» WPS. Дело в том, что из интерфейса WinBox можно нажимать WPS только для основной точки доступа, хотя их может быть сколько угодно. Для этого в терминале пишем «int wir pr», что сокращённо означает interface wireless print — в RouterOS можно вводить только часть команды, если она уникальна. Запоминаем номер нужного нам интерфейса, именно ему будет отправляться команда WPS. Допустим нам нужен номер 0, он и будет использоваться далее в примере.
Последние штрихи
Третье. Создаём отдельного пользователя конкретно для команды WPS. Действие опционально, но так безопаснее. Создаём группу wps, которой даём только такие права: ssh, read, test. Создаём пользователя wps и добавляем его в эту группу. Заодно проверяем, чтобы в микротике был включен ssh (ip services), редактируем разрешённый диапазон адресов для входа и при необходимости ставим нестандартный порт.
Двойным щелчком
На самом маршрутизаторе всё готово, осталось только подключиться к нему и отправить команду. Для этой цели отлично подойдёт putty или его консольный аналог plink. Командная строка будет выглядеть следующим образом:
putty.exe -ssh 192.168.1.1 -l wps -pw password -m wps.txt
Рядом создаём файл wps.txt с таким содержимым: «int wir wps 0», где 0 — номер нашего интерфейса, а сама команда сокращена от interface wireless wps-push-button. И создаём на рабочем столе ярлык с это командной строкой с открытием окна, свёрнутого в значок — так окно не будет мелькать, особенно в случае plink. При первом запуске нужно будет запомнить ключ ssh, остальные будут происходить автоматически и мгновенно выполнять нашу команду. Для нестандартного порта используйте ключ -P, а в случае необходимости смотрите документацию.
Следует заметить, что клиент тоже должен поддерживать WPS для такого быстрого подключения. Его поддерживают практически все устройства на Android, а вот iOS не поддерживает совсем. Для Windows-клиентов необходима поддержка WPS адаптером — старые модули могут его не видеть, но большинство ноутбуков поддерживают без проблем. Характерный признак — при подключении к точке доступа под паролем должно появиться сообщение, что кроме пароля также можно нажать кнопку WPS на маршрутизаторе. Если этого сообщения нет — чудо не произойдёт.
Итоги
В организациях особенно важно уделять должное внимание беспроводным сетям, а слабые пароли составляют основную угрозу безопасности. С такой настройкой WPS администратор может выставить сложнейший пароль и одним движением подключать новую технику без риска компрометации пароля.
Благодарим за помощь Федора Кузьмина
1351
WPS – функция, обеспечивающая быстрый доступ к беспроводной сети без необходимости ввода ключевой фразы.
Для безопасного использования WiFi рекомендуется использовать пароли длиннее 20 символов со спецсимволами, цифрами и различным регистром букв. Ввод подобных паролей может быть существенно затруднен на некоторых платформах, напр. телевизоры или принтеры, которые зачастую даже не имеют полноценной клавиатуры. Помочь в решении этой проблемы призвана технология WPS.
WPS Accept
Принцип работы заключается в следующем: нажимается кнопка WPS (кнопка может быть как физическая (Рис 26.1), так и виртуальная (Рис 26.2)). При нажатии предоставляется доступ для подключения к точке доступа в течение 2 минут. Если за это время произойдет подключение к беспроводной сети, то WPS будет отключен, если же подключения не произойдет, WPS будет отключен автоматически. Кнопка WPS Accept должна быть нажата каждый раз, когда нужно подключить новое устройство. Пароль передается на устройство, поэтому это не метод скрытия пароля ото всех устройств.
Все устройства RouterOS с интерфейсом WiFi имеют виртуальную кнопку WPS.
WPS не рекомендуется применять в особо секретных или критических узлах сети, по причине того, что в момент нажатия WPS (или в момент вещания) злоумышленник может подключиться к вашей сети.
- Настройка режима WPS производится в настройках беспроводного интерфейса (WPS Mode Рис 26.2):
- disabled — отключить WPS
- push button — включение по кнопке
- push button 5s — нажать и удерживать кнопку
- virtual push button only — только виртуальная кнопка WPS Accept
RouterOS не поддерживает незащищенный режим PIN. Так же в случаях работы точек доступа в режиме CAPsMAN WPS не поддерживается.
Настройка WPS была выполнена полностью.
На этом обзор WPS на MikroTik закончен.
Wi-Fi Protected Setup (WPS) — стандарт (и одноимённый протокол) полуавтоматического создания беспроводной сети Wi-Fi. Целью протокола WPS является упрощение процесса настройки беспроводной сети, поэтому изначально он назывался Wi-Fi Simple Config. Протокол призван оказать помощь пользователям, которые не обладают широкими знаниями о безопасности в беспроводных сетях, и как следствие, имеют сложности при осуществлении настроек. WPS автоматически обозначает имя сети и задает шифрование для защиты беспроводной Wi-Fi сети от несанкционированного доступа в сеть, при этом нет необходимости вручную задавать все параметры.
Начиная с RouterOS v6.25 заявлена поддержка WPS. Существуют два вида подключения по WPS — ввод PIN-кода и нажатие кнопки WPS на маршрутизаторе. Атакам подвержена только ранняя реализация с PIN-кодом, этот вид подключения разработчики MikroTik решили не реализовывать вообще. Второй способ подразумевает, что в момент подключения к точке доступа на нём программно или физически нажимается соответствующая кнопка и соединение клиента с точкой происходит полностью автоматически. Физическая кнопка для WPS появилась только в нескольких последних маршрутизаторах Mikrotik, во всех остальных её нужно нажимать программно.
Для того, что бы воспользоваться этим функционалом на маршрутизатор следует загрузить дополнительный пакет из Extra packages под названием Wireless CAPsMANv2 (wireless-cm2-*.npk), загрузить его на роутер и выполнить перезагрузку.
После перезагрузки в RouterOS появиться соответствующая кнопка:
И меню в wireless — interface — выбор интерфейса — wireless: WPS: выключено, включено, только виртуальная кнопка.
При подключении к точке доступа под паролем на вашем устройстве должно появиться сообщение, что кроме пароля также можно нажать кнопку WPS на маршрутизаторе. После нажатия на кнопку WPS клиент должен в течении двух минут подключиться к нашей точке по этому протоколу. Во избежание подключения сторонних клиентов лучше делать немного наоборот — сначала клиент пытается подключиться к точке доступа, затем администратор нажимает у себя WPS и клиент тут же мгновенно подключается к сети. Нажатие кнопки отображается в логе. Если никто не подключился вид будет такой:
- 12:48:32 wireless,info wlan_1: WPS virtual button pushed
- 12:50:32 wireless,info wlan_1: WPS button reset
Если подключение удалось:
- 13:19:23 wireless,info wlan_1: WPS virtual button pushed
- 13:19:32 wireless,info wlan_1: WPS virtual button pushed, extend walk time
- 13:19:45 wireless,info wlan_1: WPS virtual button pushed, extend walk time
- 13:21:06 wireless,info wlan_1: WPS association from CC:CC:CC:CC:CC:CC
- 13:21:06 wireless,info CC:CC:CC:CC:CC:CC@wlan_1: connected
- 13:21:06 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC started, associated
- 13:21:07 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC, received info: ‘jae6xx’ samsung/GT-I9000/GT-I9000/355sdg3tg4gg
- 13:21:07 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC, do registration
- 13:21:09 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC complete
- 13:21:09 wireless,info wlan_1: WPS button reset
Сразу после подключения статус WPS сбрасывается, для того, что-бы подключить еще одно устройство нужно еще раз нажимать эту кнопку (или программно или аппаратно).
Стоит сказать, из интерфейса WinBox можно нажимать WPS только для основной точки доступа, хотя их может быть сколько угодно (виртуальные). Для этого в терминале пишем interface wireless print , запоминаем номер нужного нам интерфейса, именно ему будет отправляться команда WPS. Допустим нам нужен номер 0:
- interface wireless wps-push-button 0
где 0 — номер нашего интерфейса.
Используемый материал
WPS (Wi-Fi Protected Setup) — это технология, которая упрощает процедуру установки безопасного соединения Wi-Fi. С ее помощью можно создать безопасное и простое в использовании соединение между роутером MikroTik и устройством, поддерживающим WPS. В этой статье мы рассмотрим, как настроить WPS на роутере MikroTik и расскажем об особенностях его использования.
Для начала, необходимо убедиться, что ваш роутер MikroTik поддерживает WPS. Внимание! Некоторые модели роутеров MikroTik могут не иметь этой функции. Проверить наличие WPS можно в настройках роутера.
Далее следует включить WPS на роутере MikroTik. Для этого необходимо зайти в панель управления роутером через браузер и найти соответствующий раздел. Обычно это «Wireless» или «Беспроводная сеть». В этом разделе вы найдете опцию «WPS», которую необходимо активировать.
После активации WPS на роутере MikroTik его можно использовать для установки соединения с устройствами, поддерживающими данную технологию. Для этого на устройстве нужно активировать WPS и выполнить соответствующие настройки подключения. Обычно кнопка активации WPS находится на передней панели роутера или устройства.
Помните, что использование WPS может упростить setup процесс, но при этом может стать угрозой для безопасности вашей Wi-Fi сети. Рекомендуется использовать WPS только в случае необходимости и отключить его после установки соединения.
В заключение, настройка WPS на роутере MikroTik — это удобный способ установки безопасного соединения Wi-Fi между роутером и устройствами. Однако, следует помнить о возможных угрозах для безопасности и использовать WPS только при необходимости.
Содержание
- Описание WPS и его преимущества
- Что такое WPS
- Преимущества использования WPS на роутере MikroTik
- Подготовка к настройке WPS
Описание WPS и его преимущества
Преимущества использования WPS:
- Простота настройки: с помощью WPS можно быстро и легко подключиться к Wi-Fi-сети без необходимости вручную вводить сложные пароли.
- Безопасность: WPS обеспечивает защиту от несанкционированного подключения к вашей Wi-Fi-сети. По умолчанию, WPS использует временный безопасный ключ (PIN), который автоматически меняется после каждого подключения.
- Удобство: функция WPS особенно полезна, когда нужно подключить множество устройств к Wi-Fi-сети, например, когда настроить подключение нескольких смартфонов, планшетов или ноутбуков.
В настоящее время у большинства современных роутеров есть кнопка WPS для упрощенной настройки безопасного подключения. Однако, перед использованием WPS, рекомендуется ознакомиться со специфическими особенностями настройки и потенциальными рисками.
Что такое WPS
Метод PIN-кода позволяет добавить новое устройство к сети, введя указанный PIN-код WPS. Этот метод обеспечивает простоту в использовании, но требует знания PIN-кода.
Метод кнопки WPS позволяет подключить устройство к сети, нажав кнопку WPS на роутере и на устройстве одновременно. Устройства будут автоматически настраиваться для подключения к сети. Этот метод не требует ввода PIN-кода и является наиболее удобным способом подключения к сети по WPS.
Преимущества использования WPS на роутере MikroTik
Вот некоторые преимущества использования WPS на роутере MikroTik:
- Простая настройка: WPS позволяет настроить защищенное подключение к сети всего за несколько кликов. Это упрощает процесс установки и сокращает время, которое пользователь тратит на настройку роутера.
- Безопасность: WPS поддерживает различные методы защиты, включая WPA и WPA2, что обеспечивает надежное шифрование данных и защиту сети от несанкционированного доступа.
- Удобство использования: WPS позволяет подключиться к сети с помощью PIN-кода или кнопки на роутере. Это удобно для пользователей, которые не хотят вводить длинный пароль.
- Высокая скорость: Подключение к сети через WPS обеспечивает высокую скорость передачи данных, что особенно важно при использовании потокового видео и онлайн-игр.
- Совместимость: Функция WPS поддерживается большинством устройств, подключающихся к беспроводным сетям, такими как компьютеры, смартфоны, планшеты и другие устройства.
В целом, использование WPS на роутере MikroTik обеспечивает простоту настройки, безопасность и удобство подключения к беспроводной сети.
Подготовка к настройке WPS
Прежде чем приступить к настройке функции WPS (Wi-Fi Protected Setup) на роутере MikroTik, необходимо выполнить несколько предварительных шагов.
1. Подключитесь к роутеру MikroTik с помощью компьютера или устройства, поддерживающего беспроводное подключение.
2. Проверьте, что ваш роутер MikroTik работает на последней версии прошивки. Если необходимо, обновите прошивку до последней доступной версии.
3. Убедитесь, что функция WPS не отключена на роутере MikroTik. Для этого зайдите в настройки роутера и проверьте наличие опции WPS в разделе безопасности или беспроводных настроек.
4. Запомните или запишите пароль и SSID (имя сети), которые используются на вашем роутере MikroTik. Эти данные потребуются в процессе настройки WPS.
5. Убедитесь, что у вас есть устройство, которое поддерживает функцию WPS. Например, большинство современных ноутбуков, смартфонов и планшетов оснащены этой функцией.
После выполнения всех указанных выше шагов вы будете готовы приступить к настройке функции WPS на роутере MikroTik.
WiFi Protected Setup (WPS) feature lets to connect WiFi devices (e.g. wireless printers) to a router’s secure WiFi network without selecting a network name (SSID) and entering a password.
Wireless MikroTik routers support the WPS feature and are supplied with either physical or virtual WPS button.
This short note shows how to find and push the WPS button on the MikroTik router from a command-line (terminal) or Winbox/Webfig interface.
Cool Tip: Show devices connected to a MikroTik router! Read more →
In Winbox/Webfig the WPS button can be found on a “Quick Set” page:
You can also find the WPS button if you go to “Wireless” and double-click on one of the wireless interfaces:
If after pushing the “WPS Accept” button it seems that nothing happens, you can check the logs to get more details:
ℹ️ WPS Accept: By pushing either physical or virtual WPS button on a MikroTik router you enable the “WPS Accept” function. If withing 2 minutes the WPS process isn’t initiated, the “WPS Accept” function will be stopped.
To push the WPS button on the MikroTik router using the command line (terminal), execute:
[admin@MikroTik] > /interface wifiwave2 print - sample output - Flags: M - MASTER; B - BOUND; R - RUNNING Columns: NAME, CONFIGURATION.MODE, CONFIGURATION.SSID # NAME CONFIGURATION.MODE CONFIGURATION.SSID 0 MBR wifi1 ap MikroTik-AAAAAA 1 MBR wifi2 ap MikroTik-BBBBBB [admin@MikroTik] > /interface wifiwave2 wps-push-button wifi1 [admin@MikroTik] > /interface wifiwave2 wps-push-button wifi2 [admin@MikroTik] > /log print follow - sample output - 21:04:20 wireless,info wifi1: WPS button pushed 21:04:34 wireless,info wifi2: WPS button pushed 21:06:20 wireless,info wifi1: WPS walk time expired 21:06:34 wireless,info wifi2: WPS walk time expired -- Ctrl-C to quit. Space prints separator. New entries will appear at bottom.
Cool Tip: How to show a MikroTik router’s WiFi password! Read more →
Was it useful? Share this post with the world!