Inleiding
Het aanbieden van internettoegang aan bezoekers is tegenwoordig heel normaal. Meestal gebeurt dit in de vorm van een extra draadloos netwerk, een zogenaamd gastennetwerk. De meeste routers en accesspoints ondersteunen het verspreiden van meerdere netwerken (SSIDs), zo ook mijn eigen Zyxel NBG6716 met OpenWrt. Toen ik in mijn favoriete computertijdschrift een artikel las over het, vanwege de veiligheid, met regelmaat aanpassen van het wachtwoord, dacht ik: dat is een goed idee voor mijn gastennetwerk!
Benodigdheden
Aldus ging ik op zoek naar informatie over de verschillende onderdelen van dit project:
- het genereren van een veilig wachtwoord
- het regelmatig vervangen van de WPA-sleutel van het gastennetwerk
- een simpel stappenplan voor een gast die van het netwerk gebruik wil maken
Velig wachtwoord
De documentatie van OpenWrt verwees me door naar een programma genaamd
pwgen, dat voor de meeste GNU/Linux-distributies en ook OpenWrt beschikbaar
is. Met het volgende commando verschijnt er een volledig willekeurige tekenreeks
van precies 63 alfanumerieke tekens:
pwgen --secure 63 1
Wachtwoord vervangen
Op de genoemde pagina staan de commando's om het wachtwoord van een met WPA2
beveiligd netwerk in te stellen. De router met OpenWrt is van huis uit via SSH
te beheren, dus is er ook een mogelijkheid om de uci-commando's vanaf een
andere computer uit te voeren.
Tot zover was mijn plan te realiseren; alleen nog uitzoeken hoe ik welke eindjes
aan elkaar moest knopen, dat in één of twee shell-scripts gieten en met een
cron-job automatiseren. Simpel, toch?
Probleem: gebruiker
Men zegt wel eens: gemak dient de mens. In het geval van een menselijke computergebruiker is dat vaak méér dan waar. Het invoeren van een wachtwoord dat aan (mijn) strenge veiligheidseisen voldoet, is niet bepaald comfortabel. Daarom wilde ik die gebruiker zo veel mogelijk tegemoet komen bij het verbinden met mijn gastennetwerk.
Met behulp van een QR-code kun je niet alleen URL's of visitekaartjes delen, maar ook complexe wachtwoorden van draadloze netwerken. Onder Android kun je er zelfs een volledig verbindingsprofiel in kwijt.
WIFI:T:WPA;S:"mijn-gastennetwerk";P:"uYvQ9X6nUAFCUQbmbVmaLZkU8";H:false;
Voorwaarde is dan natuurlijk wel, dat de gebruiker een mogelijkheid heeft om de QR-code uit te lezen. Dit is lang niet altijd het geval; ten minste niet bij de mensen die van mijn gastennetwerk gebruik willen maken.
WPS als redder in nood
Was er niet ooit een mogelijkheid om een apparaat met één druk op de knop met een netwerk te verbinden? Jawel, dit proces heet Wifi Protected Setup (WPS). Android en Windows bieden ondersteuning voor WPS, GNU/Linux, iOS en macOS niet. De variant met een pincode van 8 cijfers is al lang te kraken en dus geen optie, maar de Push-Button-Connection (PBC) achtte ik voldoende veilig. Ik ging op zoek naar de mogelijkheden binnen OpenWrt en liep vervolgens muurvast.
Epiloog
Hoe uitdagend dit project ook zou zijn; de gegarandeerde irritatie bij mijn gasten vanwege het steeds weer opnieuw in moeten voeren van een lang en complex wachtwoord, weegt niet op tegen de veiligheidswinst van een regelmatig wisselende WPA-sleutel op mijn gastennetwerk.
Meestal leidt denkwerk vooraf tot een (veel) beter product. In dit geval betekende het een hoop onderzoek, maar geen programma, script of applicatie. Is dit project daarom mislukt? Nee, ik vind van niet. Door overleg en planning vooraf kunnen werk en energie dáár worden ingezet, waar ze het hardste nodig zijn. Daarnaast schaadt onderzoek nooit; kennis is altijd waardevol.