Per proteggere sufficientemente contro KRACK è necessario applicare patch per il client, l'AP o entrambi?

143

A seguito di questa domanda , non sono chiaro su quali dei seguenti passaggi siano sufficienti per proteggere un WPA2 connessione Wi-Fi basata sul KRACK difetto:

  1. Patching dell'AP (ad esempio router)
  2. Patching del client (ad esempio dispositivo mobile)
  3. Patching dell'AP e del client

La risposta attualmente in upvoted, citando link afferma:

Both clients and access points are listed in the paper as being vulnerable.

e

implementations can be patched in a backwards-compatible manner [...] To prevent the attack, users must update affected products as soon as security updates become available. [...] a patched client can still communicate with an unpatched access point, and vice versa.

Ma questo sembra lasciare aperta la domanda su quale combinazione di patch sarebbe una soluzione efficace. Ad esempio, è chiaro che se dovessi patchare il mio telefono, sarebbe comunque in grado di comunicare con un AP non aggiornato, ma la comunicazione sarebbe sicura?

Questa è una domanda importante, perché mentre è relativamente facile assicurarsi che i miei client siano corretti una volta che la patch è disponibile (poiché il numero di fornitori di sistemi operativi è relativamente piccolo), assicurando che tutti i router siano corretti (in particolare negli AP WiFi pubblici ) sembra un compito molto più difficile a causa del numero e delle dimensioni dei fornitori e della mancanza di controllo sull'hardware di terze parti.

    
posta Jon Bentley 16.10.2017 - 18:25
fonte

9 risposte

85

Per proteggere completamente la tua rete, sia la periferica che il punto di accesso dovranno essere riparati:

Source: https://www.krackattacks.com/#faq

Finally, although an unpatched client can still connect to a patched AP, and vice versa, both the client and AP must be patched to defend against all attacks!

    
risposta data 17.10.2017 - 06:31
fonte
49

TL; DR: È spesso (ma non sempre) sufficiente per applicare correttamente la patch al client WiFi.
È inoltre necessario applicare una patch al router affinché funzioni anche come client WiFi (ad esempio, un ripetitore) o che sia abilitato il roaming veloce (802.11r).

La parte essenziale degli attacchi è che il client accetta nuovamente il messaggio 3 dell'handshake a 4 vie che fa sì che il client reinstalli la stessa chiave di crittografia e ripristini la protezione di nonce e replay - in questo modo fa replay e talvolta anche iniezione possibile.

Ciò significa che se il client è patchato per non accettare un messaggio 3 che contiene la stessa chiave già installata, non reinstallerà la chiave e non ripristinerà la protezione di nonce e riproduzione. Questo dovrebbe essere sufficiente per contrastare l'attacco, non importa se il server è corretti o meno.

Inoltre, tratto direttamente dal link :

What if there are no security updates for my router?

Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.

    
risposta data 17.10.2017 - 20:49
fonte
28

In base a questo post di IBM XForce :

[...] Attacks must be within range of the access point and client. Both the client and access point have to be patched in order to be protected from these attacks. If the access point is patched, but not the client, exploitation is still possible.

Prima di martedì @ 2017-10-17 10: 42a CDT: IBM ha detto:

[...] if even only one of the devices (client or access point) has been patched, the pair are not vulnerable to this form of attack.

Ho lasciato il testo originale per scopi storici.

    
risposta data 16.10.2017 - 19:05
fonte
10

Ho sentito le cose in entrambi i modi, è difficile da dire. Il documento che menziona sia i client che gli AP sembra che ci sia almeno qualcosa da fare su entrambi i lati. Questo commento ha senso per me: "la maggior parte dei punti di accesso andrà bene, ma quelli che eseguono le funzioni client ( ad esempio ripetitori) sarà necessario l'aggiornamento. "

Mi dispiace di non poter dare una risposta definitiva, aggiornerò se trovo una risposta. Spero che questo abbia aiutato almeno

    
risposta data 16.10.2017 - 20:35
fonte
3

Un punto che può essere dimenticato sono i ripetitori. Se la tua configurazione è computer < - > ripetitore < - > router < - > la linea a banda larga e il ripetitore / router sono entrambi privi di patch e connessi tramite WiFi, quindi qualsiasi traffico tra router e ripetitore può essere annusato indirettamente, incluso tutto ciò che il computer invia o riceve.

In questa situazione, se viene riparato solo il ripetitore, tutto è sicuro. In caso contrario, il computer e il router devono essere corretti perché entrambi si collegano al ripetitore senza patch.

    
risposta data 17.10.2017 - 00:50
fonte
3

Il sito ufficiale di krackattacks.com ora ha questa voce delle FAQ :

Is it sufficient to patch only the access point? Or to patch only clients?

Currently, all vulnerable devices should be patched. In other words, patching the AP will not prevent attacks against vulnerable clients. Similarly, patching all clients will not prevent attacks against vulnerable access points. Note that only access points that support the Fast BSS Transition handshake (802.11r) can be vulnerable.

That said, we are working on access points modifications that do prevent attacks against vulnerable clients. These modifications are different from the security patches for vulnerable access points! So unless your access point vendor explicitly mentions that their patches prevent attacks against clients, you must also patch clients.

Questo spiega perché c'è stata tanta confusione intorno a questa domanda, sia qui che altrove sul web.

Tecnicamente parlando, solo i client (inclusi i punti di accesso che fungono da client, come i ripetitori) ei punti di accesso che supportano l'handshake Fast BSS Transition sono vulnerabili e devono essere corretti.

Tuttavia, è possibile modificare i punti di accesso in modo da impedire attacchi ai client anche se i client sono vulnerabili (anche se il punto di accesso in sé non lo è). Questa modifica è completamente diversa dalla modifica necessaria per "correggere" i punti di accesso vulnerabili (quelli che fungono da ripetitori o supportare Fast BSS Transitions), quindi una patch per i punti di accesso può o meno impedire attacchi contro client vulnerabili a seconda esattamente di quale tipo di "fix" contiene la patch.

Quindi, a seconda delle capacità del tuo punto di accesso e del tipo di patch disponibili, al minimo potrebbe essere necessario correggere solo il tuo access point, solo i tuoi client o entrambi per difendersi da questo attacco. Ovviamente nello scenario ideale, tutti i dispositivi vulnerabili dovrebbero essere riparati, indipendentemente da quali attenuazioni extra sono state implementate sul punto di accesso.

    
risposta data 24.10.2017 - 16:01
fonte
2

In risposta a se è sufficiente applicare l'AP solo per le patch:

Riferimento: patch WIP in "wpa_supplicant" utilizzato nella maggior parte delle distribuzioni Linux

Secondo il commit di cui sopra - sembra possibile prevenire l'attacco applicando solo l'AP:

This option can be used to work around key reinstallation attacks on the station (supplicant) side in cases those station devices cannot be updated for some reason. By removing the retransmissions the attacker cannot cause key reinstallation with a delayed frame transmission. This is related to the station side vulnerabilities CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, and CVE-2017-13081.

Tuttavia, questo è opzionale, una build predefinita di questo modulo potrebbe non avere questa opzione abilitata.

In base agli altri commit / commenti correlati, sembra che l'opzione migliore sia quella di applicare una patch al client.

    
risposta data 17.10.2017 - 01:26
fonte
1

La patch dell'AP è necessaria solo se l'AP funziona come un client.

Ad esempio:

  1. Se supporta il roaming veloce (802.11r).

  2. È parte di una mesh (mesh leaf) come nei prodotti fortinet

  3. Può comportarsi come un ripetitore

  4. Supporta il traffico da stazione a stazione

In questi casi anche l'AP dovrebbe essere corretto.

BUT ... Anche l'applicazione di patch all'AP attenuerà l'attacco ai client non protetti che si connettono a questo AP (non inviando un Msg3 azzerato), quindi forse è necessario patteggiare l'AP per proteggere i client.

    
risposta data 18.10.2017 - 07:54
fonte
0

Mathy Vanhoef, la ricercatrice che ha scoperto la vulnerabilità di KRACK e quindi la fonte più autorevole disponibile su questo argomento, ha rimosso ogni ambiguità in un intervista video per Tech News Weekly:

As a home user, if you've done update on your Windows, and your IOS devices, in that case I would say you're secure.

When you connect to a more enterprise or a more business network, for example a University or a company that has a lot of access points, so a lot of places were the wireless technology is being broadcasted, then there could still be a perk in the equipment that they use.

But, for your home network, if you just update your Windows, or your laptops and your smartphones, then you're already safe.

Inoltre, in seguito ha aggiunto :

Most KRACK attacks against vulnerable clients can be prevented by modifying the router/access point. This may even be possible through AP configuration changes only (without updates). Example is Cisco workarounds. Though this may affect the reliability of handshakes in certain edge cases (e.g. with slow clients or unreliable connections).

    
risposta data 26.10.2017 - 16:24
fonte

Leggi altre domande sui tag