Autor Tema: Cambio masivo WPA2 en routers con OpenWRT  (Leído 4435 veces)

0 Usuarios y 1 Visitante están viendo este tema.

neodark

  • Visitante
Cambio masivo WPA2 en routers con OpenWRT
« en: 14-01-2015, 20:46 (Miércoles) »
Buenas noches, seguimos con los experimentos... a ver, estoy usando los routers ar-5387un para los clientes pero mi duda será común para todos los routers con Openwrt...

Voy a configurar la red con WPA2 y claro, quiero que la clave cambie cada x dias... yo mismo con una clave inventada y se ha de cambiar en todos los routers y después en los AP (Mikrotik).

Como se puede cambiar la clave en los routers clientes (usan Openwrt) de forma masiva la clave WPA2 (o la que se esté usando)... de una forma segura y rápida... imagino que con un PC con linux y algún batch que acceda mediante ssh a cada router, cambie la clave y cierre conexión....

O a ver si sabeis algún truquito para hacer lo que quiero. Si puede ser automatizado mejor que mejor  ^-^

Gracias!!



vk496

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #1 en: 15-01-2015, 00:03 (Jueves) »
Lo que planetas, sería mas efectivo si se hace a la inversa. Es decir, que todos los routers accedan a un servidor concreto para obtener su nueva config.

La forma de poder automatizar eso, a mi parecer, debería ser con cron.d (eso en OpenWRT)

Salu2

neodark

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #2 en: 15-01-2015, 00:27 (Jueves) »
Pues si que es muy buena idea... y sabrías guiarme un poco...

En el caso de tu ejemplo tendría un linux (por ejemplo) y generaría claves aleatorias... generaría una clave aleatoria y los routers cogerían esa clave nueva y la cambiarían en el router...

A ver si me puedes ayudar un poco. Muchas gracias!!

vk496

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #3 en: 15-01-2015, 00:35 (Jueves) »
Para empezar... Por que esa necesidad de cambiar las claves como loco? Estaría bien que expusieses todo el problema... Puede que haya una forma mas eficiente de conseguirlo.

Salu2

neodark

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #4 en: 15-01-2015, 00:42 (Jueves) »
Hola, en principio estoy desarrollando la red... y quiero hacer los enlaces base-cliente con encriptación wpa2 y poder cambiar la clave cada ciertos días, a lo mejor cada 10 dias o cada 15 o 20 dias.... para evitar que haya gente que pueda estar sacando la clave y conectarse a la red....

Lo que voy buscando es una buena seguridad y que sea escalable a su vez... quiero decir que una vez montado no tenga que estar cambiando o volviendo a casa del cliente para hacer cambios....

Gracias!!

vk496

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #5 en: 15-01-2015, 01:20 (Jueves) »
A mi lo que se me ocurre es coger la fecha, añadir una "contraseña" al final, y aplicarle MD5, tal que:

15/01/2015vk496

Código: [Seleccionar]
u0_a62@hammerhead:/ $ echo "15/01/2015vk496" | md5sum
228bd55e9f09ab6e5e4996db00b65a32  -

A partir de allí, coger los últimos 12 dígitos ( por ejemplo).

Otra cosa que comentar... A un cliente no le va a hacer ni puñetera gracia apuntar la pass cada X días. Quieren WiFi, que vaya rápido y su no de por culo (por mi experiencia)

Salu2

neodark

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #6 en: 15-01-2015, 11:05 (Jueves) »
Pero la idea es que el router del cliente coja la clave y la cambie, cuando se haga un cambio de clave todos los dispositivos se auto-cambian la clave y el cliente no tiene que hacer nada, porque no quiero que tengan acceso a su router de cliente.

Pero se podría hacer algo como en cable modem, que cuando enciendan el router se descarguen la configuración...

La idea es que sea todo automatizado (los cambios de clave se harán de madrugada para que el cliente no note cortes durante el día).

Saludos!!

vk496

  • Visitante
Re: Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #7 en: 15-01-2015, 12:14 (Jueves) »
Pero la idea es que el router del cliente coja la clave y la cambie, cuando se haga un cambio de clave todos los dispositivos se auto-cambian la clave y el cliente no tiene que hacer nada, porque no quiero que tengan acceso a su router de cliente.

Pero se podría hacer algo como en cable modem, que cuando enciendan el router se descarguen la configuración...

La idea es que sea todo automatizado (los cambios de clave se harán de madrugada para que el cliente no note cortes durante el día).

Saludos!!
Ya, pero como vas a decir a cada cliente cual es su clave cada X días? Ello implica que el cliente tiene que apuntar una clave nueva cada X tiempo. Y eso no suele gustar...

La mejor forma (en mi opinión) es usar un dato específico del cliente (números de su DNI, id del contrato, ...) junto con una clave para crearle una contraseña "segura" mediante el uso de algún hash (Antes puse MD5, pero existen muchos). Y durante la instalación, asegurar que el router tenga WPA/WPA2 con WPS desactivado.

Y ya te aviso que a niveles prácticos un cliente siempre pregunta por el tema de cambiar a una clave que a el le guste.

Salu2

neodark

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #8 en: 15-01-2015, 13:23 (Jueves) »
Pero no es la clave del router que va a tener el cliente en su casa, me refiero a la clave del punto de acceso que le va a dar conexión al cliente... el punto de acceso que va a tener el cliente en su azotea para coger la señal de la base.... ese router no va a tener acceso el cliente... el cliente tendrá el router arriba por donde recibe la señal y abajo en su casa tendrá otro que ese si podrá manipular...

Pues a eso me refiero, el router de arriba que va a ser de mi posesión y va a ser una conexión con la estación base y quiero que sea una conexión segura y que yo pueda cambiar la clave de los routers clientes.... no se si me entiendes... porque tu te refieres al router que tendría abajo el cliente en su casa para conectar el movil, el portátil, etc... esa clave no... sino la clave que va a usar la red mia para encriptar y prevenir que se conecten a la red....

Yo lo que voy buscando algo seguro para evitar que se conecten a la red.... actualmente tengo pensado en wpa2 para la conexión estación base-clientes y poder cambiar esa clave que sólo va a ser para que vaya encriptada toda la información estación base-clientes....

No se si lo he explicado mejor ahora

vk496

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #9 en: 15-01-2015, 13:32 (Jueves) »
Si, ahora te entiendo....

En ese enlace, creo que sería mejor un WPA/2 Enterprise.

Salu2

neodark

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #10 en: 15-01-2015, 14:23 (Jueves) »
Y ese tipo de encriptación se puede romper? Porque si no se puede romper me quedo sólo con eso.... O me aconsejas también servidor radius, vpn, amarre arp ?

Gracias!!

danitool

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #11 en: 15-01-2015, 16:00 (Jueves) »
Aunque tengo conocimiento básico sobre temas de encriptación, trataré de responder a la pregunta original que es cambiar la contraseña en todos los routers, con "comandos de andar por casa"

Creo que se podría hacer mediante un script en un router que haría de maestro usando conexiones ssh. A traves de esas conexiones envíariamos los comandos pertinentes a los routers clientes remotos para que cambien la contraseña.

- El primer paso sería añadir los clientes remotos y en el local los pares de autenticación ssh lo cual vendría a ser algo como esto:
http://www.linuxproblem.org/art_9.html
De esta forma no hace falta loguearse en los routers remotos.

- Ahora ya podemos enviar comandos a los routers remotos sin loguearse. Y podremos hacer el script para enviar los comandos que sería algo tal que así

Código: [Seleccionar]
#!/bin/sh

#cambiar contraseña en remotos
ssh root@192.168.8.88 'uci set wireless.@wifi-iface[0].key="supersecreto";uci commit wireless;wifi'
ssh root@192.168.8.89 'uci set wireless.@wifi-iface[0].key="supersecreto";uci commit wireless;wifi'

#cambiar en el local
uci set wireless.@wifi-iface[0].key="supersecreto";uci commit wireless;wifi

Básicamente sería algo en ese estilo. Faltaría hacerlo más sofisticado para hacer que detecte si algún cliente está caído o situaciones diversas de ese estilo.

Y hacer que el pass se generase aleatoriamente o que se le pasase desde otro sitio, Pero son detalles menores. Luego solo habría que meter el script en cron o bien hacer un loop para que se ejecute cada X días.

No he testado esto y puede que haya algún impedimento para que funcionase, así que solo es una idea  >:D
« Última modificación: 15-01-2015, 16:08 (Jueves) por danitool »

neodark

  • Visitante
Re: Cambio masivo WPA2 en routers con OpenWRT
« Respuesta #12 en: 15-01-2015, 17:58 (Jueves) »
Muchas gracias, eso era lo que no me cuadraba, para abrir la sesión ssh, cambiar parámetros y cerrar sesión....

Ahora es eso, ir estudiando para cuando un cliente no esté operativo que se pueda cambiar más tarde...

Habrá que ir haciendo pruebas

Gracias!!

//FINAL Y MÁS DOS RESPUESTAS