OpenWrt ist eine Linux-Distribution, die Firmware hauptsächlich für die Nutzung auf WLAN-Routern und einer langen Liste von weiteren unterstützten Geräten bietet und dort als Ersatz für die meist proprietäre Software der Hersteller dient. OpenWrt ist mit einem beschreibbaren Dateisystem und dem hauseigenen Paketmanager opkg ausgestattet, der über 15.000 Pakete anbietet.
WPA3, TLS und HTTPS
Gerade haben die Entwickler OpenWrt 21.02.0 als stabile Version veröffentlicht. Wie die Release Notes vermelden, sind in 18 Monaten Entwicklungszeit über 5.800 Commits in das neue Release eingeflossen. Die neue Version unterstützt nun offiziell [wiki title=”WPA3″]WPA3[/wiki], den neuesten Standard zur Absicherung von WLAN. Die Unterstützung für WPA3 war zwar bereits in der stabilen Vorgängerversion OpenWrt 19.07 gegeben, aber nicht im Standard-Paketbestand enthalten. Version 21.02 enthält jetzt alle Pakete, die für die Bereitstellung von WPA3 erforderlich sind.
Neu ist auch die integrierte Unterstützung von TLS und HTTPS. TLS-Unterstützung ist nun standardmäßig in OpenWrt-Images enthalten, einschließlich der vertrauenswürdigen CA-Zertifikate von Mozilla. Der Paketmanager greift auf den Downloadserver nun automatisch per HTTPS zu. OpenWrt 21.02 wechselt von mbedTLS zu wolfSSL als Standard-SSL-Bibliothek. mbedTLS und OpenSSL sind aber weiterhin verfügbar und können manuell installiert werden.
DSA ersetzt sukzessive swconfig
Zudem wird OpenWrt 21.02 mit anfänglicher Unterstützung für DSA ausgeliefert. DSA steht für Distributed Switch Architecture und ist der Linux-Standard für den Umgang mit konfigurierbaren Ethernet-Switches. Die Hardware-Anforderungen mit OpenWrt 21.02 steigen auf mindestens 8 MByte Flash-Speicher und 64 MByte RAM. Schuld daran sind neue Funktionen sowie der ständig wachsende Kernel. Dieser wird bei 21.02 in Version 5.4.143 ausgeliefert.
Ein installiertes OpenWrt 19.07 lässt sich per sysupgrade auf 21.02 hochziehen, wobei in den meisten Fällen die Konfiguration erhalten bleibt. Diese sollte in jedem Fall vorher gesichert werden. Weitere Einzelheiten sind den Release Notes zu entnehmen.
Wie ist die Einstellunge der Firewall (IPv4 & IPv6) wenn man den voreingestellten Standard nimmt. Ich würde von einem OSS-Tool eher “sicher” vermuten.
Falls nicht: Ich möchte für meineen Bruder seinen alten original WRT54 gegen einen neueren Router tauschen, da der WRT54 keine IPv6 kann (oder nur mit specialimages) und ohenhin aktuell vermutlich ein einziges Sicherheitsloch ist. Die Firewalleinstellungen sollten so sicher sein wie bei jeden aktuellen Kaufrouter (oder besser). Ist das standardmäßg so oder muß ich dazu was einstellen und wenn ja was?
Alternativfrage: Gibt es eine gute HowTo-Seite (am Besten auf deutsch) die das beschreibt? In Firewalls und Netzwerk bin ich leider nicht ganz so fit, daher möglichst Anfängergeeignet.
Du meinst den Linksys WRT54GL? Ja, einwandfreies Gerät…damals (habe ich auch explizit des Flashens anderer Firmware wegen gekauft gehabt). Aber auch nur 100 Mb/s LAN (der Unterschied zu 1 Gb/s ist extrem, nicht bloß auf dem Papier) und namensgebend 54 Mb/s WLAN.
Ja. Das ursprünglich Gerät un meines Wissen der Namensgeber von OpenWRT. Aber seit 2016 nicht mher vom Hersteller unterstützt und kann wie gesagt keien IPv6. Die 100Mbit wäre nicht so schlimm. Das Netz dahinter ist nur einer 32Mbit-Leitung.
Ich nutze OpenWRT seit glaube ich 2013, zwischendurch den Fork LEDE. Ich kann es sehr empfehlen. Alles genau einstellbar und es gibt Sicherheitsupdates.
Leider ist das mit den Sicherheitsupdates zumindest bei x86 Geräten schlecht gelöst, da die Update Images immer nur komplett geschrieben werden und damit alle bestehenden Partitionen gelöscht werden. Das man nach jeden Grundsystem Update außerdem alle benötigten Pakete neu installieren muss ist auch nervig, besser wäre da ein komplett Paket basierendes Update System wie bei der Sophos UTM wo man nur das Update anstößt und nach einem Reboot ist alles erledigt.