Pomoc s nastavením zabezpečení Wi-Fi sítě pro router Linksys EA7300
Dobrej
Dnes jsem připojil postarší router Linksys model EA7300 v2 který chci pro oddělenou síť momentálně zapojen v jiné místnosti.
Do puvodního routeru je připojen pomocí kabelu LAN typu CAT5 přes port WAN.
Nemám velké zkusenosti se sítovým nastavením, nicméne jsem docílil toho čeho jsem chtěl, což bylo aby se uživatel který se připoji přes Linksys at přes rozhraní LAN nebo bezdrátovou sít Wi-FI dostane z Linksys DHCP IP adresu 192.168.2.xxx o proti puvodní 192.168.1.xxx.
Uživatel z puvodního routeru se nedostane do sítě Linksys kde mám server NAS a Plex, a naopak, takže oddělené by ty síte měli být a vše funguje.
Zablokován jsem u strany 121 : Bezpečnostní funkce pro bezdratovou sit
https://downloads.linksys.com/downloads/userguide/EA7300_UG_INTL.pdf
Technické udaje routeru najdete na straně 127
Prosím tedy o radu, jaké nastavení použít u položky zabezpečení sítě - Security Mode kde vidím možnosti WPA - atd.
Jinak bydlím ve třetím patře bytovky, předpokládám že nastavení canal mám nechat auto.
Minimálně WPA2 ...
Tak v první řadě, z té sítě Linksysu se do té druhé sítě v pohodě dostaneš, ne že ne.
V druhé řadě, pokud máš kolem sebe hafo sítí, tak naopak je vhodné nastavit kanál napevno.
V třetí řadě, je třeba u wifi nastavit minimálně WPA2 (AES) bez možnosti fallbacku na WPA (tj. TKIP)
Hacknout tvůj router s aktualnim FW od Linksys a šifrovaním které poskytuje by bylo docela jednoduché a stačilo by odchytit [EAPOL] mezi přístupovým bodem a klientem .
Jediné řešení na tvůj bezpečnostní problém s tvím routerem pravděpodobně VLAN je IMHO nasledující.
Jelikož tvůj router již pár let nedostal žádnou záplatu bych ho tak jak je považoval za spíše nebezpečný sám o sobě, ale existují alternativy jako OpenWRT.
Přímo na tvůj Linksys byla vydaná verze OpenWRT 23.05 optimizovaná pro tvůj model včetne podpory WLAN a chipu MediaTek MT7603E, MediaTek MT7615N
a a/n/ac pro 5GHz na stahnutí zde https://openwrt.org/toh/linksys/ea7300_v2
Instalace je velmi jednoduchá, jen v nastavení routeru u položky nastavení → firmware → zvolís stahlej openwrt-23.05.3-ramips-mt7621-linksys_ea7300-v2-squashfs-factory.bin a klikneš na Install.
Po instalaci bude tvůj Linksys pravděpodobně dostupný na adrese 192.168.2.1, tak jako první krok muzeš nastavit tvoji iPV4 zpět na 192.168.2.1
Zabezpečení Wireless, zvol adekvatní šifrování (některé prahistorické zařizení nemusí některé nastavení podporovat) položka Wireless Security:
Výše ti byl doporučen TKIP, avšak bych ti v prípade ze se rozhodneš pro šifrovaní typu WPA2-PSK na místo TKIP (TKIP je o proti AES šifrovací protokol nižší třídy (WEP2)) zvolit CCMP, jelikoz vynuceni CCMP (AES) považuji v tvém případě za jedinou možnost, která má rozumnou úroveň zabezpečení.
PS :
Pro klidnější svědomí můžeš povolit protiopatření 'Enable key reinstallation' reinstalace klíče (KRACK), ktery komplikuje útoky na reinstalaci klíčů na straně klienta tím, že zakáže opakované vysílání rámců EAPOL-Key, které se používají k instalaci klíčů.
Tvuj Linksys má dva oddíli (A/B). I když nainstalujes OpenWRT, muzeš se přes tlacítko RESET které je vzadu routeru vratit na OEM Linksys systém ktery jsi měl předtím.
to asi nečteš pozorně.
obrázek "security" jsi zeditoval, to je dobře. v té původní odpovědi jsi měl červeně zatržené i tkip a to by prošlo tak před 15 lety.
blbé je, že výrobci spotřebních krámů (mobily, kamery, tv, tiskárny, chytrožárovky, vysavače ...) zásadně neuvádí, jakou wifi normu ty krámy zvládají, o zabezpečení ani nemluvě.
můžeme sice pořídit router s wpa3, ale co se k tomu dokáže připojit je (neúspěšná) loterie.
Samotný TKIP (force tkip) pravě označen nebyl, ale ano byl mezi označenýma :)
Označeny byly viz původní chaoticky obrazek položky : "CCMP" nebo "TKIP + CCMP" -> pokusí se použít AES, pokud je k dispozici, a pokud ne, vrátí se k TKIP. Toto nastavení nabízí největší kompatibilitu, tedy v případě použití WPA2-*.
EA7300 s OpenWRT umi použít i šifrování WPA3-SAE o proti jiz několik let zapomenutému Firmware od Linksys.
Prý vysavače :) Radči si zametu než aby mi se mi pod nohama motal blaznivý vysavač s webkou, pavouka z rohu to stejně vyhnat neumí.
Bohužel pak je to pravda no, stačí poukazat třeba na ty zminene žárovky, jako TP-Link Tapo, útoky typu man-in-the-middle a zachycení šifrovacího klíče RSA
https://arxiv.org/pdf/2308.09019
Touchwood: V třetí řadě / omluva, ano nepozorně jsem to přečetl, i přes předešlé upozornění LBRtnik mi to došlo, docvaklo až teď.