mrpear.net logo osobní web jednoho ajťáka
► ČESKY | ENGLISH |
twitter icon flickr icon 500px icon

TP-LINK: Zabezpečení proti brute-force útoku na WPS

Problém prolomení WPS je pro čtenáře tohoto blogu jistě známý, proto je fajn, že jsem v poslední době narazil na několik routerů značky TP-LINK, které měly proti tomuto útoku aktivní a v praxi funkční ochranu, která dokázala účinně zamezit prolomení zabezpečení. Proto pokud máte některé z wifi AP této značky, zkontrolujte si aktualizaci firmware a možnosti nastavení zabezpečení WPS.
O problémech s WPS jsem psal na blogu ve dvou příspěvcích, teoreticky jsem věc rozebral v Prolomení WPA/WPA2-PSK přes WPS snadno a rychle (teorie), no a velmi oblíbený příspěvek Prolomení WPA/WPA2-PSK přes WPS snadno a rychle (praxe) pojednává o praktické ukázce, jak na tuto slabinu zaútočit.
Nejnovější oficiální firmware u zařízení společnosti TP-LINK (řádově od poloviny roku 2013), jsou již vybaveny lepší implementací WPS (Wi-Fi Protected Setup).
Nenechte se zmást, TP-LINK tuto službu přejmenoval na QSS (Quick Security Setup)
Tato novější a bezpečnější implementace hlídá neúspěšné pokusy o přihlášení přes WPS a v případě registrace několika chybných PIN kódů, vyhodnotí operační systém situaci jako brute-force útok a službu WPS dočasně deaktivuje. Díky tomu je velice ztížena situace útočníkovi, neboť útok se protáhne z desítek minut na hodiny až dny.

Kontrola zabezpečení

Zkontrolovat nastavení zabezpečení QSS je možné přes webové rozhraní routeru v menu QSS, kde hledejte zaškrtávací pole Disable PIN of this Device. Tento vcelku zavádějící název více osvětlí jeho podrobnější popis v informačním panelu stránky:
Disable PIN of this Device - WPS external registrar of entering the device's PIN can be disabled or enabled manually. If the device receives multiple failed attempts to authenticate an external Registrar, this function will be disabled automatically.
Z popisu je tedy jasné, že zařízení automaticky vypne službu WPS v okamžiku, kdy zaznamená několik chybných pokusů o přihlášení pomocí PIN kódu. Nikde se nepíše o tom, po kolika pokusech se tak stane, ani na jak dlouho dojde k deaktivaci WPS. Nicméně z praxe mohu potvrdit, že k blokaci dojde po cca 10 pokusech a služba se deaktivuje na několik minut. Je ale možné, že při opakovaném útoku bude prodleva narůstat.
Snímek obrazovky webového rozhraní nastavení QSS u routeru TL-WR740N/TL-WR740DN:
TL-WR740N(D) Nastavení QSS
TL-WR740N(D) Nastavení QSS

Aktualizujte si firmware

Pokud možnost ochrany proti útoku na WPS v nastavení QSS chybí, nezoufejte. Zkuste v zařízení aktualizovat firmware. Nejnovější oficiální firmware je k dispozici vždy na stránkách výrobce, tedy v tomto případě české stránky společnosti TP-LINK.

Související příspěvky

Reklama
14. 3. 2014 :: Pavel Hruška :: Internet :: Bezpečnost :: komentářů: 6
Pavel Hruška
Pavel Hruška
IT specialista a programátor. V oblasti IT se specializuje na správu systémů (home, office, server/klient), síťová řešení, jejich zabezpečení a komunikaci. Jako programátor vyvíjí aplikace pro Android, web i desktop.
Twitter | | Facebook

Komentáře

9. 12. 2014 17:42:30, Lukioso
No jo, ale když si vypnu WPS, tak se na nepřipojím ani já sám, nebo se pletu?
10. 12. 2014 8:23:52, Lukioso
Tak omluva připojím, já blb si nechtěně resetoval router a tak heslo co jsem zadával bylo chybné.
10. 12. 2014 9:38:10, mrpear
[Lukioso] Jj, WPS je jen zkratka k připojení, pokud znáš heslo, není problém se připojit bez aktivního WPS. Navíc WPS je nutné blokovat pouze v případě, pokud nemá router implementovány obranné mechanizmy, což platí především o starších modelech (starších firmwarech).
27. 11. 2015 18:37:29, Miloš
Velké díky Vám Pavle, moc mě tohle pomohlo v nastavení routeru...
1. 12. 2015 20:33:41, Tomio
ak som to spravne pochopil, tak v podstate staci qss nastavit na disabled a tym padom vypnem wps a zabezpecim router proti brute-force utoku?
1. 12. 2015 20:45:40, mrpear
[Tomio] Ano, pochopil jsi správně ;).

Co si o tom myslíte?

:
:
(nepovinné a neveřejné, slouží pro případ dalšího kontaktu přes e-mail)
: