Keďže mi záleží na bezpečnosti, chcel som sa uistiť, že moja bezdrôtová sieť je taká bezpečná, ako to zariadenia v nej dovoľujú. Najdôležitejšou súčasťou je samozrejme router. V mojom prípade som pred nejakým časom nahradil môj Archer MR200 s hrdosťou bežiacim OpenWRT routerom hAP ac3 LTE6 kit s Mikrotik 6 v tom čase. Bol to môj prvý Mikrotik router a nejaký čas mi trvalo, kým som sa ho naučil. Väčšinou som používal základné nastavenia. Oproti MR200 bol výrazne výkonnejší vďaka väčšej RAM a CPU a tiež 5GHz bezdrôtová sieť fungovala oveľa lepšie — na MR200 síce bola, ale problematická, väčšinou som ju mal vypnutú a pracoval len na 2.4GHz. Práve tá 5GHz sieť bola jedným z hlavných dôvodov na upgrade, keďže 2.4GHz priestor v mojej oblasti začínal byť preplnený.
Avšak hAP ac3 bol schopný pripojiť sa len k 4G/LTE sieti a keďže medzitým bol ukončený a moja oblasť dostala novú 5G pokrytie, upgradoval som ešte raz na Mikrotik Chateau 5G ax. Bol trochu drahší, ale hej, možno je teraz trochu futureproof. Okamžite mi downlink/uplink vzrástol z cca 20/20Mbps na 250/250Mbps, a to na SIM karte. Žiadny metalický kábel, žiadna optika, žiadna externá anténa. Celkom pôsobivé, čo poviete.
Záludnosti kompatibility 802.11ax a WPA3 #
Upgrade z 802.11ac alias Wi-Fi5 na 802.11ax alias Wi-Fi6 bol tiež príjemnou zmenou, no priniesol svoje vlastné nevýhody, o ktorých som spočiatku nevedel. Pri starom nastavení s hAP ac3 zariadenie produkovalo jednu 5GHz sieť v režime 802.11a/n/ac a jednu 2.4GHz sieť v režime 802.11b/g/n. WPA3 sa tam objavil pravdepodobne až s upgradom na RouterOS7.1, takže som mal nakonfigurované WPA2 na oboch sieťach, ani som si neuvedomoval, že WPA3 už môžem používať. Týmto spôsobom, so staršími Wi-Fi režimami a čisto na zabezpečení WPA2, fungovalo so mnou každé zariadenie. Samozrejme som obe siete pomenoval rovnakým SSID a rovnakým heslom, takže sa zariadenie väčšinou samo pripojilo k tej, s ktorou vedelo pracovať. Žiadny problém.
Problémy začali s prechodom na 2.4GHz 802.11ax spolu s WPA3 alebo prechodovým režimom WPA2/WPA3. Zdá sa, že ax aj WPA sú pre niektoré moje zariadenia problematické, čo je veľmi smutné, keďže 802.11ax by mal byť spätne kompatibilný na pásmach 2.4GHz aj 5GHz. Napríklad Original Prusa MK3.5 nefunguje s WPA2/WPA3 a nepripojí sa, pričom oprava nie je v dohľade. Pri Kindle PaperWhite 2024, čo je 12. generácia (6. iterácia), dokonca neviem nájsť presné špecifikácie, ale je to obzvlášť nový produkt spôsobujúci problémy. Dokáže sa pripojiť na 2.4GHz aj 5GHz 802.11ax, ale zatiaľ som nenašiel spôsob, ako ho rozchodiť s WPA3, hoci na internete nachádzam poznámky, že by ho mal podporovať, možno od firmvéru 5.15.1 a ja som momentálne na 5.17.1.
Ešte horšie, tlačiareň Brother DCP-L2530DW vôbec nepodporuje 5GHz ani WPA3. Prechodový režim tiež zrejme nefunguje. Keďže nemá ethernetový port, závislosť na Wi-Fi je nevyhnutná, nehovoriac o tom, aké jednoduché je tlačiť alebo skenovať priamo z telefóna alebo do neho (na rozdiel od USB pripojenia). ReMarkable 2 je rovnaký príbeh. Žiadna 5GHz sieť a žiadne WPA3.
802.11g s WPA2 prichádza na pomoc! #
Jediné dve zariadenia, ktoré vlastním a zdajú sa fungovať s prechodovým režimom WPA2/WPA3, sú Macbook M3 Pro a Android telefón Motorola Moto Edge G30 Pro. A z toho, čo som doteraz pochopil, tento režim nie je správnym riešením a chcel by som sa mu vyhnúť.
Ak nastavím rádio 0, čo je 5GHz na Chateau, na zabezpečenie WPA3 bez preddefinovaného kanálového pásma, predvolene prejde na 802.11ax. Môj telefón a laptop sa môžu pripojiť bez problémov, bezpečne a s plnou rýchlosťou. Prechodový režim WPA2 tu vôbec nie je potrebné zapínať. Ale čo s ostatnými zariadeniami, ktoré potrebujú príležitostné pripojenie, ako sú tlačiarne a čítačky kníh?
To, čo pre mňa funguje perfektne, je nastaviť rádio 1, čo je 2.4GHz, na čisté WPA2 a 802.11g. Dôvod je ten, že nastavenie na ax vylučuje väčšinu zariadení a mal som dokonca problémy s 802.11n pri niektorých zariadeniach, čo je zvláštne, keďže technické listy pre všetky z nich hovoria, že je podporované. Ale každopádne, 802.11g je najnižší spoločný menovateľ, pričom rýchlosť nie je pre tieto ostatné zariadenia dôležitým faktorom. Toto nastavenie funguje bez problémov, okrem toho, že Wi-Fi v záhrade bude veľmi pomalá, ak bude vôbec použiteľná. Problém pre budúceho Petra.
A čo celková bezpečnosť? #
Možno sa niekto opýta: prečo prevádzkovať WPA3 na 5GHz, keď sa útočník môže jednoducho pripojiť k 2.4GHz sieti, ktorá beží na WPA2? Skvelá otázka! Všimnite si, že na všetkých týchto ostatných zariadeniach som už nastavil statické záznamy. Okrem Kindle, zvyšok skupiny (obe tlačiarne a ReMarkable 2) profituje zo statickej IP jedným alebo druhým spôsobom; uvažoval som o dvoch možnostiach na zvýšenie celkovej bezpečnosti:
- Pridať whitelist MAC filtrovania pri aktívnom DHCP
- Vypnúť DHCP pre 2.4GHz sieť a spoliehať sa na statické záznamy
Obe možnosti by zabránili neoprávneným zariadeniam pripojiť sa k 802.11g na menej bezpečnej sieti WPA2 v porovnaní s WPA3. Existovala však aj tretia možnosť:
- Pridať whitelist MAC filtrovania a tiež vypnúť DHCP
Musel som sa o tejto možnosti dozvedieť viac a tu sú moje zistenia o DHCP spolu s MAC filtrovaním, ktoré sa tiež nazýva ACL alebo Access Control List:
Ponechanie DHCP aktívneho s MAC filtrovaním #
Výhody:
- V DHCP logoch vidím pokusy o pripojenie, čo pomáha identifikovať zariadenia, ktoré sa pokúšajú pripojiť
- Jednoduchšie pridávanie nových zariadení — môžem ich vidieť v zozname záznamov a jedným kliknutím ich previesť na statický záznam
- Ak náhodou zabudnem pridať MAC adresu na whitelist, stále vidím zariadenie pokúšajúce sa pripojiť v DHCP logoch
Nevýhody:
- Neoprávnené zariadenia môžu stále posielať DHCP požiadavky (aj keď nedostanú sieťový prístup vďaka MAC filtrovaniu)
- Veľmi malá dodatočná záťaž na router (v praxi zanedbateľná)
- Potenciál pre DHCP-based útoky (hoci MAC filtrovanie zabráni neoprávnenému prístupu)
Vypnutie DHCP pri použití MAC filtrovania #
Výhody:
- Trochu bezpečnejšie, keďže neoprávnené zariadenia nedostanú ani pokus o pridelenie IP
- Čistejšie logy bez neúspešných DHCP pokusov
Nevýhody:
- Ťažšie riešenie problémov s pripojením, keďže neuvidím DHCP pokusy
- Viac manuálnej práce pri pridávaní nových zariadení, keďže nemôžem konvertovať zo DHCP záznamu
- Potreba manuálne nakonfigurovať statickú IP pre každé nové zariadenie
Rozhodol som sa ponechať DHCP aktívne, keďže nevýhody výrazne prevažujú nad výhodami.
Ako nastaviť ACL na RouterOS7 #
Keď som vedel, čo chcem urobiť, potreboval som zistiť, ako to urobiť.
Problém je, že vo väčšine zdrojov, ktoré som mohol nájsť, bola zmienka o
príkazoch ako authentification a forwarding. Ale tieto som nikde
nenašiel. Ani v WebFig UI, ani v príkazovom riadku terminálu.
Čo sa stalo je, že toto nastavenie bolo prepracované v novšej verzii
RouterOS a teraz access list funguje inak. Najprv je potrebné pridať
pravidlá accept a potom pridať globálny reject na koniec zoznamu:
Pre úplnosť, tu je postup, ako sa v tom pohybovať v Terminále:
/interface wifi access-list printVýsledkom je táto tabuľka:
;;; prusa-mk35
0 all 08:F9:E0:**:**:\*\* accept 2025-02-04 12:27:38 2
;;; reMarkable2
1 all B8:2D:28:**:**:\*\* accept 2025-02-04 18:46:18 2
;;; brother-DCP-L2530DW
2 all A8:93:4A:**:**:\*\* accept 1
;;; kindle-paperwhite-2024
3 all 20:BE:B8:**:**:\*\* accept 2025-02-04 19:01:04 3
;;; android-moto-edge-G30
4 all BC:1D:89:**:**:\*\* accept 2025-02-04 11:58:22 2
;;; macbook-pro-M3
5 all 80:A9:97:**:**:\*\* accept 1
;;; reject-other
6 wifi24 reject 43
Toto nastavenie je podľa mňa to najlepšie z oboch svetov, s ohľadom na rovnováhu medzi bezpečnosťou s rýchlou a modernou 5GHz 802.11ax sieťou s WPA3 na jednej strane a súčasne staršou 2.4GHz 802.11g s WPA2 a MAC address filtrovaním na strane druhej.
Jediná vec, ktorá sa mi na tomto nastavení nepáči, je, že som nenašiel spôsob, ako prevádzkovať 2.4GHz sieť v kompatibilnom režime 802.11g/n (vynechajúc 802.11ax pre 2.4GHz), keďže zdá sa, že existuje len možnosť buď nechať router rozhodnúť, čo použiť (a rád rozhodne pre 802.11ax na 2.4GHz, pričom moje zariadenia z nejakého dôvodu nepustí), alebo striktne použiť jeden z vybraných (buď g, n alebo ax a nič iné). Skutočne by som preferoval, aby 2.4GHz bežalo aspoň na 802.11n bez problémov, ale zatiaľ som neprišiel na to, ako to urobiť s mojimi súčasnými zariadeniami. Dúfam, že v tej záhrade to nebude taký problém, uvidíme. Užívajte!