KRACK interim guidance stopgap

1

Come operatore di un AP importante, ad es. Edificio per uffici degli sviluppatori di Stack Overflow, posso:

  • Disconnetti tutti.
  • Modifica la chiave condivisa AP tramite il supporto Ethernet.
  • Distribuisci in modo sicuro una nuova chiave per i client wifi. * Monitora AP 802.11 per QUALSIASI QUALSIASI messaggio deauth. Se ottengo qualche inizio al punto 1.

Funzionerebbe?

    
posta Andyz Smith 23.10.2017 - 16:39
fonte

2 risposte

3

Cambiare il PSK non ha assolutamente alcun effetto su KRACK. KRACK non consente a un utente malintenzionato di accedere a PSK. KRACK è un attacco al processo che scambia il PTK / GTK tra il client e l'AP. Un attacco riuscito consentirà all'utente malintenzionato di calcolare il PTK molto più facilmente (o nel caso di client molto corrotti impostare il PTK su tutti gli 0). Ciò accadrà indipendentemente dall'aspetto del PSK e la modifica del PSK non modifica questo attacco in alcuna forma.

Se ritieni che una connessione tra client e AP sia compromessa, è sufficiente disconnettere il client e ricollegarlo è sufficiente per generare un nuovo PTK. Assicurati solo che la connessione non venga successivamente attaccata e compromessa.

Se vuoi proteggere i tuoi "target di alto valore", dovresti:

  1. Ricopia sia l'AP che i client.
  2. Non fare affidamento su un singolo livello di crittografia, specialmente uno che protegge solo dall'interfaccia radio client all'interfaccia radio AP.
  3. Abilita 802.11w per prevenire gli attacchi deauth / disassoc in primo luogo.
risposta data 23.10.2017 - 22:35
fonte
1

Anche se monitorizzi attivamente nuovi handshake, deauth frame e AP rogue in wireshark per identificare l'attacco, non puoi comunque impedire a attacker di avviare KRACK sui tuoi client.

Cambiare effettivamente il PSK e chiedere ai tuoi clienti di disconnettersi una volta identificato l'attacco è utile per l'attaccante e non per te perché l'attaccante sta anche monitorando l'handshake e gli stai dando l'opportunità di bloccare il messaggio 4 della stretta di mano.

Una volta bloccato il messaggio 4, l'AP invierà di nuovo il messaggio 3 e nonce verrà ripristinato . In caso di Android e Linux che utilizzano wpa_supplicant v2.4 / 2.5 la chiave di crittografia temporanea viene impostata anche su chiave di crittografia zero .

La modifica di PSK chiederà automaticamente ai tuoi clienti di eseguire nuovamente l'autenticazione e ora l'utente malintenzionato può intromettersi nell'handshake senza tentare di esternalizzare i client.

    
risposta data 24.10.2017 - 09:46
fonte

Leggi altre domande sui tag