LINUX.ORG.RU

Вышел LEDE 17.01.4 с исправлением KRACK WPA2

 , ,


1

0

Сервисный релиз приурочен к исправлению уязвимости WPA2 и включает следующие изменения:

  • Ядро Linux 4.4.92 (было 4.4.89 в 17.01.3).
  • Исправление уязвимостей brcmfmac, hostapd, mac80211, toolchain/gdb, Linux.
  • Последняя версия Wireguard VPN (0.0.20171017).
  • Полная поддержка Xen в x86/generic subtarget, и поддержка Xen в x86/64 subtarget.
  • Исправления для платформ ar71xx, bcm53xx, ramips и x86.

Не забывайте, что исправление ошибок в роутере полностью не избавляет от уязвимости, необходимо провести обновление всех клиентских устройств.

>>> LEDE 17.01.4 - Fourth Service Release - October 2017

★★☆☆

Проверено: jollheef ()
Последнее исправление: cetjs2 (всего исправлений: 6)
Ответ на: комментарий от anonymous

Ну компов может быть несколько плюс всякие гаджеты, например, у меня на телефоне тоже tor стоит.

anonymous
()

Фух, поставил. Пять минут полёт нормальный. А есть где на русском руководство, как умно настроить безопасность на ЛЕДЕ этой? Ну и вообще, что интересного на ней можно навернуть?

Deleted
()
Ответ на: комментарий от Deleted

А есть где на русском руководство, как умно настроить безопасность на ЛЕДЕ этой?

Так lede безопасен по умолчанию. Во всяком случае, так сказано на главной странице.

LEDE's standard installation is secure by default, with Wi-Fi disabled, no poor passwords or backdoors. LEDE's software components are kept up-to-date, so vulnerabilities get closed shortly after they are discovered.

Kron4ek ★★★★★
()

Пошел ставить tftp, накачал заводских прошивок, теперь я ГОТОВ КО ВСЕМУ!

anonymous
()
Ответ на: комментарий от Kron4ek

да-да, безопасность заключается в отключенном вайфае и пустом пароле для рута?

Deleted
()

Помогите. Херня какая-то. Целый день готовился прошивать, и вот те на...

Скачал на свой Netgear WNR1000v2 отсюда правильный образ:

http://downloads.lede-project.org/releases/17.01.4/targets/ar71xx/generic/

Вот этот файл: wnr1000v2-squashfs-factory.img

Проверил sha256, все нормально.

Открыл админку роутера, нажал обновить микрокод, выбираю файл...

https://s8.hostingkartinok.com/uploads/images/2017/10/3f1124b42aa6f9e2e8a35bc...

Вот такой пиздец. Не может прочесть прошивку, которая подготовлена специально для этого роутера. Что делать теперь?

anonymous
()
Ответ на: комментарий от anonymous

Переименуй файл - сделай такое же название, как у стоковой прошивки. У меня роутер не прошивался, пока я не переименовал.

Kron4ek ★★★★★
()
Ответ на: комментарий от Kron4ek

Не помогло. Хнык-хнык. :(

Кстати, на скрине видно что он что-то прочитывает из этого файла все-таки. Когда нажимаю обзор и вставляю в файл, то в строчке отображается lede...img. Когда нажимаю загрузить, он ~10 секунд думает, потом выдает ошибку, и в той строчке уже маячит OpenWRT. ну это так, чисто заметка...

Переименовал файл в файл текущей заводской прошивки - не помогло...

anonymous
()
Ответ на: комментарий от Kron4ek

Странно. Попробуй тогда openwrt прошить, а потом обновись до lede.

То же самое... Что за херня с моим роутером, бро? Скажи плз. :(

anonymous
()
Ответ на: комментарий от anonymous

Если не получится, значит роутер не позволяет ставить кастомные прошивки через веб интерфейс. Смотри тогда другой метод прошивки здесь. Можешь, например, через tftp попробовать.

Kron4ek ★★★★★
()
Ответ на: комментарий от Kron4ek

Заливать такой командой?

tftp -i 192.168.1.1 put lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img

Если что, ей же я смогу вернуть заводскую прошивку?

anonymous
()
Ответ на: комментарий от anonymous

Нашел инструкцию для твоего девайса, там как раз описывается tftp метод.

Я такой командой заливал:

atftp --option "mode octet" --option "timeout  60" --verbose --trace -p -l wnr612v2-V1.0.0.3_1.0.2RU.img 192.168.1.1
. Впрочем, я не смотрел man к atftp, а просто копирнул команду с какого-то сайта.

Если что, ей же я смогу вернуть заводскую прошивку?

Сможешь.

Kron4ek ★★★★★
()
Ответ на: комментарий от Kron4ek

Кстати, эти говнари зажали свжеие прошивки для русскоязычного сообщества. Последняя RU-прошивка для Netgear WNR1000v2 была аж 2010 года (V1.0.2.12RU.img). И при нажатию кнопки «Check» для поиска обновлений, лживо говорит нам, что ничего нет. Зато на оффсайте есть посвежее - англоязычная, 2012 года (V1.1.2.50.img). Скачал, обновил. Вот ведь мерзавцы.

anonymous
()
Ответ на: комментарий от Kron4ek

usage: tftp host-name [port]

tftp>

Он ждет ввода. Какой порт написать? :)

anonymous
()

Пацаны, попытался залить прошивку.

tftp -i 192.168.1.1 put lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img

Просит ввести порт:

usage: tftp host-name [port]

tftp>

Погуглил, везде пишут что порт 69 надо вводить, но если ввести просто 69, то:

?Invalid command
anonymous
()

А теперь таймаут пишет.

tftp 192.168.1.1   
tftp> binary
tftp> trace
Packet tracing on.
tftp> put lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img
sent WRQ <file=lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img, mode=octet>
sent WRQ <file=lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img, mode=octet>
sent WRQ <file=lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img, mode=octet>
sent WRQ <file=lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img, mode=octet>
sent WRQ <file=lede-17.01.4-ar71xx-generic-wnr1000v2-squashfs-factory.img, mode=octet>
Transfer timed out.
anonymous
()
Ответ на: комментарий от anonymous

зачем tor и все остальное ставить на роутер

я делал открытую точку доступа и гнал с нее весь трафик через тор.

prizident ★★★★★
()

Мой отчет о попытке накатить LEDE на Netgear WNR1000v2.

Немного о себе: Я обычный парень, в сетях не шарю, в линуксе ламер, но каждый день я совершенствуюсь. Очень хотелось накатить LEDE, ведь сидеть на прошивке с бэкдорами от АНБ это не очень здорово. Сегодняшнее приключение мое можно было бы назвать «Путешествие туда и обратно». И ведь правда, в какой-то момент я отложил кирпичей на целый многоэтажный дом!

Короче вначале попытался накатить LEDE/OpenWRT через веб-интерфейс Netgear Genie. На тот момент там стояла прошивка V1.0.2.12RU. При попытке залить образ из файла постоянно возникала какая-то ошибка. Это была максимально возможная версия прошивки для RU-региона (2010 года). Потом начал искать прошивки поновее. Нашел прошивки для EN-региона. Скачал файл с прошивкой V1.1.2.50 и залил ее. Интерфейс соответственно переключился на английский язык. Потом роутер автоматически предложил закачать самый свежий апдейт (2013 год) - V1.1.2.58. Я скачал его.

После этого я попробовал снова через веб-интерфейс Netgear Genie открыть файл с прошивкой LEDE - и он открылся... Не знаю точно что было причиной первоначальной проблемы - возможно надо было сначала обновиться до последней официальной прошивки, и только потом можно поставить LEDE. А может быть все дело в том, что изначально в админке стояла RU-локаль, и это как-то мешало прочитать файл. Не знаю.

Так или иначе, прошивка LEDE начала заливаться... Но ничем хорошим это не кончилось. Шли минуты, десятки минут. Я прождал 40 минут, в течении которых лампочки роутера весело мигали - то загорались, то переливались разными цветами. Желтый, зеленый... затем снова затухали, но лишь для того чтобы снова замигать через несколько секунд. Я понял, что это фейл.

Тут я начал немного паниковать, ведь я понял - роутер окирпичен.

Но я был готов к такой ситуации. Еще до начала манипуляций с роутером - я сделал резервную копию настроек через стандартные средства Netgear Genie. Затем я поставил TFTP и полистал статьи, базовые howto. Сохранил часть страничек на жесткий диск и в txt, т.к. понимал что меня ждет. Так же сохранил все что нашел по роутеру и прошивкам. И скачал все доступные прошивки.

Итак, было решено заливать LEDE через TFTP, который я поставил заранее. Почти целый час при попытке залить файл на роутер я получал какой-то «Transfer timed out.», и только потом я понял в чем дело. Роутер находился в каком-то recovery mode, а надо было перевести его в failsafe mode. И мне повезло - среди тонны сохраненных страниц были и эти шаги, как перевести роутер в failsafe mode.

Но даже после входа в failsafe mode, сеть не позволяла мне передать файл - интерфейсы постоянно пропадали, полный Network unreachable! А потом добавились еще какие-то новые сообщения. Тогда пришлось вспоминать как поднять временный интерфейс и настроить гейтвей, чтоб законнектиться с девайсом. Проблема была в том, что временный интерфейс и гейтвей держались где-то не более 15 секунд!!! Я прописывал ifconfig и route, получал так необходимый мне IP 192.168.1.2 и GW 192.168.1.1 - но через 15 секунд они пропадали, по неизвестной мне причине. Возможно это было как-то связано с тем, что роутер тем временем постоянно включался и отключался под тяжестью жирного LEDE, который в него так и не пролез. И мой виджет NM в KDE постоянно мигал, насилуя веб-интерфейсы. Может из-за этого временные настройки сети сбрасывались каждые 15 секунд.

Но что поделать. Залить за 15 секунд? Как два пальца... 15 секунд хватило, чтобы залить образ LEDE через TFTP. На самом деле время заливки составило ~0.8 секунд, и 10 секунд на копипасты команд. Но это не помогло, получил ровно тот же эффект - мигающие лампочки, и постоянное включение/отключение. LEDE не подошел. Непонятно только одно - зачем писать что это stable-версия, и что она подходит для моего роутера, когда это явный пiздеzh.

Продолжение ниже... ибо сообщение не поместилось!

anonymous
()

Потом решил залить OpenWRT через тот же TFTP. Первые несколько секунд лампочки мигали похожим образом, и я почти потерял надежду. Но потом... что-то изменилось, лампа питания замигала по-другому, а затем стабильно загорелась зеленым. Через минуту уже все лампочки стабильно горели зеленым и не мигали! Вначале подключиться к админке OpenWRT я не смог - опять слетели временный интерфейс и гейтвей. Прописал заново и... вошел в админку! Но вот облом - я потерял листок с логин-паролем для инета, и затестить OpenWRT просто не смог. :D

Пришлось снести OpenWRT. И залить стандартный заводской прошив с интерфейсом Network Genie. Ведь, как вы помните, вначале я сохранил резервную копию настроек, восстановив которую я наверняка смог бы пользоваться инетом и дальше... И ведь правда - после заливки стандартной прошивки я восстановил настройки и смог зайти в инет. Вот такие дела.

Но на какой-то момент я и правда подумал, что остался без роутера. Мне было очень грустно. :)

Завтра можно попробовать найти логин-пароль и снова накатить OpenWRT. А затем попробовать обновиться с него на LEDE (через его же веб-интерфейс). Или не стоит? Если через TFTP не взлетело LEDE, значит все-таки памяти мало?

anonymous
()

Всем привет. Есть старенький рутер - Linksys WRT320n, сейчас там DD-WRT.

Решил попробовать прошить LEDE. Прошилось без проблем, LAN-порты и WiFi работают отлично, но я нигде в LuCi не нашёл как настроить WAN. В /etc/config/network - тоже не нашёл упоминаний WAN-интерфейса.

Читал эту доку - https://lede-project.org/docs/user-guide/wan_interface_protocols, но там пишут только про PPPx и USB соединения, а у меня от провайдера приходит просто интернет по кабелю.

Подскажите, куда копать?

WhiteWolf
()
Ответ на: комментарий от anonymous

Легко ли прошить этот LEDE на роутер netgear WNR1000v2, и можно ли произойти что-то не так (окирпичится и т.д.)?

Закидываешь прошивку в веб-интерфейс, ждёшь, и прошивка выполнена. Это в большинстве случаев так. Но в твоём случае надо смотреть в wiki проекта с описанием процедуры установки. Окирпичить роутер можешь даже родной прошивкой. Если в роутере прошивка проверяется через цифровую подпись, то без программатора не обойтись. Программатор стоит 2-3 бакса на алиэкспрессе. Подходящие микросхемы флеш-памяти тоже недорогие. Выпаять и запаять можно обычным паяльником, если руки не из жопы. Если боязно, то покупаешь вместе с программатором прищепку для подключения к микросхеме флеш-памяти и шьёшь так.

Какое преимущество получим после перехода на LEDE?

Стабильность, надёжность, безопасность, настраиваемость, возможность установки разнообразных пакетов и поддержка различного оборудования подключаемого по USB, обновления безопасности, и т.д.

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

Как хоть входить в админку то через консоль в LEDE, есть где инструкция?

Заходишь по ssh и правишь конфиги.

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

Завтра можно попробовать найти логин-пароль и снова накатить OpenWRT. А затем попробовать обновиться с него на LEDE (через его же веб-интерфейс). Или не стоит? Если через TFTP не взлетело LEDE, значит все-таки памяти мало?

Там же пустой пароль после прошивки становится, или ты такой-то другой пароль имеешь ввиду?

А затем попробовать обновиться с него на LEDE (через его же веб-интерфейс).

Да.

Если через TFTP не взлетело LEDE, значит все-таки памяти мало?

Скорее всего, образ криво собрали, как и под мой роутер. После обновления с Openwrt через sysupgrade ты, скорее всего, увидишь, что в Lede вся память забита. Если так, то придется пересобирать образ.

Kron4ek ★★★★★
()
Ответ на: комментарий от WhiteWolf

а у меня от провайдера приходит просто интернет по кабелю.

У тебя интернет сразу должен работать, без настройки.

Kron4ek ★★★★★
()
Ответ на: комментарий от WhiteWolf

Create interface -> Cover the following interface, выбираешь Ethernet Adapter, LAN должна быть соответственно Ethernet switch, но если надо можно и наоборот

anonymous
()
Ответ на: комментарий от WhiteWolf

Дополняю. Если у тебя 1 адаптер в виде свича, делай через vlan (nework -> switch)

anonymous
()
Ответ на: комментарий от Kron4ek

Там же пустой пароль после прошивки становится, или ты такой-то другой пароль имеешь ввиду?

Не, не пароль на роутер, а пароль на инет. :)

anonymous
()

А реально запихнуть i2pd на девайс с 8МБ флеша и 64Мб оперативки? Никто этим не страдал?

anonymous
()

Ребятки, поздравьте меня! Накатил таки OpenWRT (openwrt-15.05) на свой WNR1000v2. Но настроить смог наверно с 5-6 перезаливки прошивки. Блин, что я за ламер такой. Короче, каждый раз входил в LuCI-интерфейс и ковырял настройки. Сначала поставил «DHCP client», ведь мой провайдер выдает IP и все остальное по DHCP... и я подумал, что надо выбрать DHCP - но ничего не вышло, более того интерфейс перестал отвечать, и я не смог больше коннектиться по 192.168.1.1. Пришлось перезалить прошивку. Потом я заметил, что OpenWRT почему-то в статусе отображает активным интерфейс eth0, а во вкладке Network Interfaces галочка стоит на eth1 (которого физически нет). Переставил на eth0, нажал Применить - интерфейс снова не отзывается, подключения по 192.168.1.1 снова нет. Снова перезаливаю прошивку. На этот раз обратил внимание, что стоит галочка подключения на WAN-интерфейсе. Я честно хз что это такое. Мне всегда почему-то казалось, что LAN означает подключение по оптоволоконному кабелю, который я и использую. Я ведь ламер, не знал что это обозначает локальную сеть. Переключил в настройках на LAN, нажал Применить - интерфейс опять завис и я перестал коннектиться до 192.168.1.1. Не знаю, насколько это нормальное явление для OpenWRT. Но чтобы снова зайти в админку - я снова перезалил прошивку. На этот раз оставил WAN и eth0, а в настройках выбрал PPPoE, т.к. это написано в инструкции провайдера. Ввел логин, пароль, выставил Google DNS. Нажал Применить - интернет заработал. Вот такая история ламера, но теперь я хотя-бы на шажочек дальше от Большого Брата.

Подскажите пожалуйста, какие настройки безопасности надо выполнить для OpenWRT - и надо ли (я ведь ламер, хватит ли мне знаний)? На заводской прошивке Netgear Genie я никаких настроек не делал, только пароль поставил посложнее. Но вижу что OpenWRT - очень навороченная прошивка, столько настроек всяких. Может что-то надо сделать? Вроде должна быть какая-то опция, чтобы игнорить всякие случайные пинги/сканы/досы в меня, было такое в заводской прошивке Genie помню. Что посоветуете?

На LEDE стоит обновляться путем апгрейда с OpenWRT? Если при заливке LEDE с нуля роутер просто не заработал, то и при апгрейде с OpenWRT -> LEDE тоже не заработает?

Вот такой расклад по памяти в OpenWRT сейчас:

https://s8.hostingkartinok.com/uploads/images/2017/10/8c9f6b43371235afd8c5abe...

anonymous
()
Ответ на: комментарий от anonymous

Для обычного пользователя конфигурация по умолчанию у OpenWRT вполне приемлема. Я не жестокий, просто толку тыкать/вписывать настройки, если не осознаешь на что они влияют. Это же всё наобум будет.

anonymous
()
Ответ на: комментарий от anonymous

Ты прав конечно, просто думал есть там какие-то обязательные/полезные вещи, которые надо настраивать. Ну если ничего такого критичного нет, то и ладно. Главное работает роутер, скорость нормальная, как на заводской прошивке, все стабильненько.

anonymous
()
Ответ на: комментарий от Kron4ek

У тебя интернет сразу должен работать, без настройки.

А если привязка к MAC-адресу WAN карты? есть возможность сменить?

Censo
()
Ответ на: комментарий от Censo

А если привязка к MAC-адресу WAN карты? есть возможность сменить?

Да. Нужно в конфиге /etc/config/network добавить опцию macaddr wan интерфейсу.

config interface 'wan'
        option proto 'dhcp'
        option ifname 'eth0.2'
        option macaddr 'мак-адрес'

Kron4ek ★★★★★
()
Ответ на: комментарий от anonymous

Если при заливке LEDE с нуля роутер просто не заработал, то и при апгрейде с OpenWRT -> LEDE тоже не заработает?

Пои апгрейде с OpenWRT она с большей вероятностью заработает. У меня на роутере именно так (в случае, если качать собранный образ с их сайта), при прошивке factory роутер окирпичивается, при прошивке через sysupgrade прошивка встает. Но, как я уже говорил, там вся память забита и настройки не сохраняются между перезагрузками, ибо они зачем-то LuCi включили в образ, не удалив других пакетов.

Kron4ek ★★★★★
()
Ответ на: комментарий от Kron4ek

Тогда оставлю OpenWRT. Мне веб-интерфейс проще. А на моем роутере наверняка LEDE тоже не сохранит настроек.

anonymous
()
Ответ на: комментарий от anonymous

LuCi можно оставить, если выпилить некоторые пакеты. Но если не хочешь запариваться, то оставляй openwrt.

Kron4ek ★★★★★
()

Кстати, а это нормально, что после заливки OpenWRT:

1. При включении роутера лампочки мигают совсем иначе, чем было со стандартной прошивкой. Потом они конечно все зеленые, но все же. Что там, диагностика роутера при включении проходит как-то по-другому?

2. На роутере перестала работать кнопка влючения/отключения WiFi. Он включается/отключается теперь только через веб-интерфейс. Ни то что бы меня это раздражало, просто странно. Неужели за столько лет существования роутера нельзя было доработать прошивку, чтобы работали все кнопки?

И главный вопрос - вот это исправление KRACK WPA2 в Openwrt-15.05 присутствует?

anonymous
()
Ответ на: комментарий от anonymous

На роутере перестала работать кнопка влючения/отключения WiFi. Он включается/отключается теперь только через веб-интерфейс.

Может эта статья поможет.

И главный вопрос - вот это исправление KRACK WPA2 в Openwrt-15.05 присутствует?

Нет. Да и вообще OpenWRT 15.05 вышла в 2015 году (а 15.05.1 в 2016), так что там, скорее всего, достаточно уязвимостей. Однако KRACK тебя затрагивает, только если точка доступа работает в режиме клиента, как ретрансляторы.

Kron4ek ★★★★★
()

Ты был прав, LEDE не сохраняет настройки. Обновил свой WNR1000v2 с OpenWRT -> LEDE (через интерфейс). Оно таки поставилось и интернет завелся. Но после перезапуска роутера слетели пароль и настройки. Пришлось откатиться на OpenWRT. Хотя казалось бы...

OpenWRT:

https://s8.hostingkartinok.com/uploads/images/2017/10/bc641c98cdfac55b6ad7097...

LEDE:

https://s8.hostingkartinok.com/uploads/images/2017/10/b4e0747d565302a5d8ed208...

Но видимо дело именно во Flash-памяти (вот как посмотреть через этот LuCI сколько занято?). Вот настройки и не сохраняются.

Ну ладно, OpenWRT тоже хорошо.

P.S. Когда накатил LEDE (и инет работал до перезагрузки) - лампочки на роутере люто бесились. Питание было зеленым, а вот циферка подключения eth и «i» (линк) - быстро мигали. Так же «i» был оранжевым, несмотря на то что инет работал. Так или иначе, LEDE не только не сохраняет настройки на моем роутере, но еще и косячит со светодиодами. Так что хвата OpenWRT, пусть и 2015 года. В конце концов для роутера 2010 года это тоже неплохо.

anonymous
()
Ответ на: комментарий от anonymous

Но видимо дело именно во Flash-памяти (вот как посмотреть через этот LuCI сколько занято?). Вот настройки и не сохраняются.

Да, во Flash. На вкладке Software показывает, сколько памяти свободно.

Kron4ek ★★★★★
()
Ответ на: комментарий от Kron4ek

Именно Flash-памяти свободной? Я открыл System -> Software, показывает:

Free space: 41% (156.00 KB)

Т.е у меня что, ~400 кб, а не 4 мб флеш памяти? Или что это?

Кстати, там еще список пакетом есть с кнопками Remove. Значит можно что-то удалить, и LEDE сможет сохранять настройки? Или там все нужное?

anonymous
()
Ответ на: комментарий от anonymous

Т.е у меня что, ~400 кб, а не 4 мб флеш памяти? Или что это?

У тебя 4 мб флеш, просто занято 3.6 мб из 4.

Кстати, там еще список пакетом есть с кнопками Remove. Значит можно что-то удалить, и LEDE сможет сохранять настройки? Или там все нужное?

Сомневаюсь, что сработают. Пакеты нужно удалять на стадии сборки образа. Но можешь попробовать.

Kron4ek ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.