WLAN-Router-Modem mit wechselnden WPA2-Schlüsseln

[uname]

Ich wollte mir wohl einen WLAN-Router (am besten mit integrierten DSL-Modem) anschaffen, welcher entweder standardmäßig oder mit angepasster Firmware wechselnde WPA2-Schlüssel nutzt. Vorstellen würde ich mir hierbei z.B. ein wöchentlicher oder täglicher Wechsel. Die WPA2-Schlüssel sollten z.B. als Liste voreingetragen sein. Vollkommen ausreichen würde auch ein Gerät, welches den WPA2-Schlüssel digital am Gerät anzeigt. Aber sowas gibt es wohl leider (noch) nicht. Ich möchte die Schlüsselliste maximal alle paar Monate aktualisieren. Eine "Fernwartung" über Internet soll nicht durchgeführt werden.
Aktuell überlege ich ein Linksys-Router mit openWRT oder DD-WRT und einem CRON-Script zum regelmäßigen Ändern einzusetzen. Kennt jemand gute Anleitungen? Gibt es vielleicht bessere Ansätze? "Echte" Rechner in Form eines Debian-Rechners möchte ich nicht einsetzen.

[syssi]

Ich wuerde es auch per OpenWRT realisieren. Einfach die /etc/config/wireless editieren (sed) und per "wifi" das WLAN neu starten. OpenWRT besitzt einen Paketmanager. Dort kannst du z.B. lcd4linux nachinstallieren. Viele Router haben mittlerweile einen USB-Port, an welchen du ein LCD-Display stecken koenntest. Bei mir sieht es so aus:



Accesspoints mit OpenWRT-Support und integriertem DSL-Modem sind leider etwas rar.

[uname]

Danke für die Hinweise. Ich möchte aber noch einen Schritt weiter gehen. Das WPA2-Passwort soll automatisch wechseln, da ich dort nicht vor Ort bin. Lediglich eine WPA2-Passwortliste würde ich dort den Anwendern vorhalten bzw. anzeigen lassen. "lcd4linux" werde ich mir anschauen.

[syssi]

Dann habe ich mich nicht deutlichen genug ausgedrueckt: Leg diese Passwortliste auf das Geraet. Schreib ein Bash-Skript, welches per Cronjob alle x Tage aufgerufen wird, sich den letzten Eintrag aus der Liste nimmt und in die Konfiguration uebertraegt.

[uname]

Ah. Danke. Jetzt habe ich es verstanden.

[wanne]

Villeicht solltest du dir mal RADIUS anschauen. (hostapd hat einen RADIUS-Server integriert.)
Ich weiß nicht genau für was du das einsetzt aber IMHO ist das für fast alle Szenarien die sinnvollere Lösung.

[uname]

Ich wollte eigentlich erst noch einen (wahrscheinlich gebrauchten) WLAN-Modem-Router z.B. von Linksys mit openWRT/DD-WRT-Support kaufen und dann den Wechsel der WPA2-Schlüssel direkt und automatisiert (CRON) auf dem Gerät vornehmen. Wichtig ist mir vor allem, dass es mehr oder weniger automatisch geht und dass man keine extra Hardware braucht. Hatte gehofft, dass jemand irgendwas in der Art auf echter Router-Hardware einsetzt. Wenn man den Radius-Server mit auf dem Router einsetzen kann warum nicht.

[catdog2]

Ich wollte eigentlich erst noch einen (wahrscheinlich gebrauchten) WLAN-Modem-Router z.B. von Linksys mit openWRT/DD-WRT-Support kaufen

Viele TP-Link Modelle eigen sich sehr gut da günstig und gut unterstützt.

Was willst du denn genau bezwecken mit der Aktion? Dann kann man dir eventuell auch bessere Lösungsansätze liefern wenn man das weiss.

[uname]

Ich habe das Problem nun erst mal grob gelöst. Vielleicht erkennt man auch daran mein Ziel. Hierfür habe ich getestet mit einem Linksys Wireless-G und DD-WRT mini.

Ziel war es hierbei bei jedem Neustart des WLAN-Routers aufgrund der aktuellen Woche (372013) einen WPA2-Schlüssel zu erzeugen. In einer evtl. verbesserten Version könnte man den WPA2-Schlüssel auch zu einem beliebigen Zeitpunkt per CRON ändern. Wird aber aktuell nicht benötigt.

Direkt beim Start des WLAN-Routers den Schlüssel aufgrund des Datums zu setzen hat ein Problem. Während Startup (rc_startup bzw. *.startup) ist das Datum noch nicht gesetzt bzw. per NTP nicht bezogen. Aus diesem Grund habe ich den Zeitpunkt "wanup" genutzt, wofür ich leider jffs aktivieren musste.

/jffs/etc/config/wpa.wanup:

Code: Alles auswählen

#!/bin/sh
nvram set wl0_wpa_psk=$(date +%U%G|md5sum|cut -c1-8)
nvram commit
stopservice nas
startservice nas

Damit ist das WPA2-Passwort für die Woche "372013" auf "5ff2e645" gesetzt:

Code: Alles auswählen

nvram show |fgrep wl0_wpa_psk
wl0_wpa_psk=5ff2e645

Code: Alles auswählen

echo "372013"|md5sum|cut -c1-8
5ff2e645

PS.: In der abschließenden Version werde ich natürlich den WPA2-Schlüssel anders berechnen lassen Kann aber auch sein, dass ich die gesamte Lösung noch wieder verwerfe bzw. mit CRON noch optimiere.

Nun brauche ich nur noch eine Kaufempfehlung für DSL-Modem/WLAN-Router mit Unterstützung für DD-WRT oder evtl. openWRT. TP-Link wäre in Ordnung.

[wanne]

Sehr zufrieden mit TL-WDR3600. Nur die Riechweite ist finde ich nicht wirklich berauschend. (Kannn aber auch hier am Haus liegen.) Da dürfte der fast baugleiche TL-WDR4300 vielleicht ein bisschen besser sein.
Sowas ist im übrigen tatsächlich sicher:

Code: Alles auswählen

$(date +RKY8PcMrt%U%G3keGRdBV319Tw|openssl dgst -whirlpool -binary | base64 | head -c20)

(Solange man RKY8PcMrt und G3keGRdBV319Tw geheim hällt und immer nur das pw rausgibt.)

Das coole daran: Man kann eben das shellscript auf einen Rechner kopieren, und sich für immer das aktuelle passowrt generieren lassen.
wenn man nicht ganz so paranoid ist kann man sich openssl sparen und das nehmen:
$(date +RKY8PcMrt%U%G3keGRdBV319Tw|md5sum | head -c20)
Prinipiell ist da halt die gefahr, dass man die 2^80 Möglichketen durcprobiert, oder doch md5 in irgen einer weise kanckt. (Wobei sich md5 auch durch whirlpooldeep aus dem paket md5deep nehmen kann.)

Außerdem würde ich eben doch einen cron-job einrichten. Dann musst du nicht immer neu an und ausschalten und vor allem keine sorgen um den ntpd machen. Wenn das Datum beim einschalten falsch ist.

Aber wenn du den Anwendungszweck verrätst kommen wahrscheinlich noch ein paar mehr tipps. (z.B. solltest du bei mehrern Benutzern bedenken, dass die sich dann gegenseitig abhören könne, wenn die alle das gleiche PW nutzen.)

das md5sum|cut -c1-8 ist allerdings wirklich gefährlich: 8 Zeichen mit 0-f sind auch auf nem PC und bei WPA inerhalb von wenigen Stunden durchprobiert.