Wi-Fi ACL na RouterOS 7 – Ústup od WPA3

V predchádzajúcom príspevku som opísal moje nastavenie s WPA3 na pásme 5 GHz a WPA2 s MAC filtrovaním na pásme 2,4 GHz. Myšlienka bola správna: moderné zariadenia dostanú modernú bezpečnosť, staršie zariadenia dostanú extra ochranu cez zoznamy prístupovej kontroly. Realita si však vymyslela iné plány.

Sen o WPA3 sa rozpadáva #

Po nejakom čase prevádzky duálneho bezpečnostného nastavenia som začal narážať na čoraz viac problémov. Najvýraznejší bol Prusa MK3.5S, ktorý sa zrazu úplne odmietol pripojiť, bez akejkoľvek aktualizácie firmvéru alebo zmeny konfigurácie routera, na ktorú by som mohol ukázať. Každopádne, existuje na to vlákno. Frustrácia z toho všetkého ma priviedla k zmene nastavenia.

Prechodný režim WPA2/WPA3, od ktorého som dúfal hladký fallback, sa ukázal nie ako správne riešenie, ako som tušil. Niektoré zariadenia boli zmätené zmiešaným režimom – pokúšali sa o WPA3, zlyhali, ale nespadli elegantne späť na WPA2.

Pragmatické rozhodnutie #

Po týždňoch riešenia problémov s pripojením, ktoré sa vždy objavili v najhoršom možnom momente, som urobil pragmatické rozhodnutie: WPA2 všade, ale s kompenzačnými bezpečnostnými opatreniami.

Kľúčový poznatok je, že WPA2-PSK s dostatočne dlhou a náhodnou frázou je stále považovaný za bezpečný pre domáce použitie. Zraniteľnosti WPA2 (ako KRACK) boli opravené na väčšine zariadení a zostávajúce teoretické slabiny vyžadujú buď fyzickú blízkosť a značné výpočtové zdroje, alebo slabú frázu na ich zneužitie.

Bezpečnosť cez dĺžku #

Namiesto spoliehania sa na vylepšenú deriváciu kľúčov WPA3 som zvolil starý osvedčený prístup: urobiť frázu dostatočne dlhou, aby hrubá sila bola nepraktická. Moja nová fráza má 24 znakov zmiešaných písmen, čísel a symbolov. Pri takejto dĺžke je priestor vyhľadávania astronomický, dokonca aj s menej robustnou deriváciou kľúčov PBKDF2 vo WPA2.

Matematika je jednoduchá: 24-znaková fráza s 94 tlačiteľnými ASCII znakmi má 94^24 možných kombinácií. Dokonca aj pri miliarde odhadov za sekundu by vyčerpanie tohto priestoru trvalo dlhšie, ako je vek vesmíru. Samozrejme, nepoužívam skutočne náhodnú frázu – je založená na zapamätateľnom vzore – ale je dostatočne náhodná, aby odolala slovníkovým útokom.

MAC filtrovanie na oboch pásmach #

S prechodom na WPA2 na oboch pásmach som rozšíril MAC filtrovanie aj na sieť 5 GHz. Predtým malo pravidlo zamietnutia len pásmo 2,4 GHz, keďže 5 GHz bolo „chránené” WPA3:

/interface wifi access-list
add action=reject comment=reject-other-wifi24 interface=wifi24
add action=reject comment=reject-other-wifi5 interface=wifi5

Áno, MAC adresy sa dajú sfalšovať. Ale útočník by musel:

1. Poznať MAC adresu na bielej listine (vyžaduje monitorovanie mojej siete)
2. Počkať, kým bude toto zariadenie offline (alebo riešiť konflikty)
3. Stále poznať moju 24-znakovú frázu

Je to obrana do hĺbky. Príjemné používanie!

Odkazy #

• https://hashcat.net/wiki/doku.php?id=cracking_wpawpa2
• https://help.mikrotik.com/docs/spaces/ROS/pages/8978459/WifiWave2+CAPsMAN
• https://www.wifi-professionals.com/2019/01/4-way-handshake