Исходя из этого вопроса, мне непонятно, на какой из перечисленных шагов достаточно, чтобы защитить шифрованием WPA2-соединение WiFi от KRACK недостаток:
В настоящее время наиболее upvoted ответить, со ссылкой на государств https://www.krackattacks.com :
как клиентов, так и точек доступа, перечисленные в документе, как уязвимым.
и:
реализации могут быть заделаны в обратной совместимости [...] , Чтобы предотвратить нападение, пользователи должны обновить уязвимые продукты как только обновления безопасности становятся доступными. [...] программного обеспечения, клиент может до сих пор общаться с неисправленной точки доступа, и наоборот.
Но это, кажется, оставить открытым вопрос о том, какая комбинация(ы) патчи эффективной будет исправить. Это's чисто для примера, что если бы я патч мой телефон, он все равно сможет общаться с неисправленной АП, но хотел бы, чтобы общение было безопасным?
Это важный вопрос, потому что пока это относительно легко, чтобы убедиться, что мои клиенты-пропатчен только патч доступен (так как количество производители ОС относительно невелики), гарантируя, что все маршрутизаторы пропатчен (особенно в публичных WiFi-точек доступа) кажется гораздо сложнее из-за на количество и размер поставщиков и отсутствие контроля над третьей партии оборудования.
Чтобы полностью защитить вашу сеть, как устройство и точка доступа должны быть заделаны:
источник: https://www.krackattacks.com/#faq
наконец, хотя необновленный клиент все равно можете подключиться к заделался АП, и наоборот, клиента и точки доступа должны быть исправлены, чтобы защитить против всех атак!
ТЛ;ДР: это часто (но не всегда) достаточно, чтобы правильно пропатчить клиент WiFi. Нужно также патч маршрутизатор работает в качестве клиента WiFi тоже (например, ретранслятора) или быстрый роуминг (802.11 Р) включен.
Основная часть атак является то, что клиент принимает сообщение 3 из 4-х проходного снова, который вызывает клиент, чтобы повторно установить тот же ключ шифрования и сбросить код и защита от прослушивания - это не так уж и анализировать, а иногда даже инъекции можно.
Это означает, что если клиент пропатчен, чтобы не принимать сообщение 3, в котором содержится тот же ключ, что он уже установлен не будет переустанавливать ключ и не сбрасывается код и защита от прослушивания. Этого должно быть достаточно, чтобы сорвать атаку, независимо от того, если сервер пропатчен или нет.
Кроме того, непосредственно берется из https://www.krackattacks.com:
что делать, если нет обновления для моего роутера?
наша основная атака против 4-х этапное рукопожатие, и не эксплуатирует точек доступа, но вместо целевых клиентов. Так что это может быть, что ваш маршрутизатор не требует обновлений безопасности. Мы настоятельно советуем Вам обратитесь к поставщику за более подробной информацией. В общем, хотя, вы можете попробовать , Чтобы смягчить нападения на маршрутизаторы и точки доступа отключение функции клиента (который например используется в режимы репитера) и отключение стандарту 802.11 r (быстрый роуминг). Для обычных домашних пользователей, ваш приоритетом должно быть обновление клиентов, таких как ноутбуки и смартфоны.
Согласно этому компания IBM XForce пост:
[...] нападения должны быть в радиусе действия Точки доступа и клиента. Клиент и точка доступа должны быть заделаны для того, чтобы быть защищены от этих атак. Если точка доступа будет исправлена, но не клиент, эксплуатации все-таки возможно.
<суб> До вторника @ 2017-10-17 10:42а ЦДТ: IBM заявил: </суб>
<суп>[...] если даже только одно из устройств (клиент или точка доступа) был исправлен, пара не подвержены этой атаке.</SUP и ГТ;
<суп> Я оставил первоначальный текст для истории. в </SUP и ГТ;
Я слышу обе стороны, это'ы трудно сказать. Бумага отметить, как клиентов, так и АПС похоже, там хоть что-то должно быть сделано с обеих сторон. Этот комментарий имеет смысл для меня: "в большинство точек доступа будет хорошо, а те, выполняя функции клиента (например, повторители), которые необходимо будет обновлять.&ьquot;
Жаль, что я не могу дать окончательный ответ, Я'МР обновлять, если я найду один. Надеюсь, что это помогло по крайней мере.
Один момент, который может быть забыли, репитеры. Если ваши установки компьютер <-> репитер <-> маршрутизатор <-> широкополосную линию, и репитер / маршрутизатор оба устаревших и подключены через WiFi, то трафик между роутером и репитером может быть косвенно, включая то, что ваш компьютер отправляет и получает.
В той ситуации, если только репитер пропатчена, все безопасно. Если нет, то компьютер и маршрутизатор должны быть исправлены, потому что они обе соединяются с неисправленными репитер.
Официальный сайт krackattacks.com теперь эта запись:
достаточно ли патч только точки доступа? Или патч только клиенты?
В настоящее время, все уязвимые устройства должны быть заделаны. Другими словами, ямочный ап не помешает атаки против уязвимых клиентов. Аналогично, латая все клиенты не позволит предотвратить атаки против уязвимых точек доступа. Обратите внимание, что только точки доступа, которые поддерживают быстрый переход БСС рукопожатие (802.11 Р) могут быть уязвимы.
что сказал, Мы работаем над точками доступа, изменения, которые предотвратить атаки против уязвимых клиентов](https://www.krackattacks.com/#ap-mitigations). Эти модификации отличаются от патчей безопасности для уязвимых точек доступа! Так что если ваша точка доступа поставщика, прямо указано, что их патчи предотвращению нападений на клиентов, необходимо также клиенты патч.
Это объясняет, почему там'ы было так много путаницы вокруг этого вопроса, как здесь, так и в другом месте в интернете.
Технически говоря, только клиенты (в том числе точек доступа, которые действуют в качестве клиента, таких как репитеры) и точек доступа с поддержкой быстрого БСС переход рукопожатие уязвимы и должны быть исправлены.
Однако, это's возможные для изменения точек доступа таким образом, чтобы предотвратить нападения на клиентов, даже если клиенты уязвимы (хотя сама точка доступа не будет). Эта модификация полностью отличается от изменения необходимы, чтобы "исправить" и уязвимых точек доступа (тех, кто выступает в качестве ретранслятора или обслуживания быстрый БСС переходы), так что патч для вашей точки доступа может или не может предотвратить атаки против уязвимых клиентов в зависимости от того, какой именно тип и"исправить" и патч содержит.
Поэтому в зависимости от возможностей вашей точки доступа и какой тип патчей доступны для этого, как минимум вам может понадобиться патч только точку доступа, только ваших клиентов, или как для того, чтобы защититься от этой атаки. Очевидно, в идеальном случае, все уязвимые устройства должно быть исправлено независимо от того, какие дополнительные способы были реализованы на точке доступа.
В ответ ли только ямочный АП достаточно:
Ссылка: патч НЗП в 'в wpa_supplicant' используется в большинстве дистрибутивов Linux
Согласно вышеуказанному фиксации - это кажется возможным, чтобы предотвратить нападение на латание только АП:
этот параметр может использоваться, чтобы обойти ключ атаки переустановка на станции (соискатель) стороны в случаях этих устройств не может быть по каким-то причинам. Удалив повторные передачи, атакующий не может причинить ключ переустановка с задержкой передачи кадра. Это относится к станции стороне уязвимости CVE-2017-13077 уязвимость CVE-2017-13078, уязвимость CVE-2017-13079 уязвимость CVE-2017-13080, и CVE-2017-13081.
Однако это не является обязательным, по умолчанию сборку этого модуля не может иметь эту опцию включенной.
На основе других связанных коммитов / комментарии, кажется, лучший вариант-пропатчить клиент.
Ямочный АП нужен только если точка доступа работает как клиент.
Например:
Если он поддерживает быстрый роуминг (802.11 Р).
Является частью сетки (сетки листа) как в продуктах фортинет
Может действовать как повторитель
Обслуживает станции к станции движения
В этих случаях АП также должны быть заделаны.
Но... ямочный АП и смягчить нападение на необновленных клиентов, которые подключаются к этой точке доступа (не посылая обнуленный Msg3), так может нужно патч АП для того, чтобы защитить своих клиентов.
Vanhoef Мати, исследователь, который обнаружил уязвимость KRACK и, следовательно, наиболее авторитетным источником по данной теме, удален какой-либо двусмысленности в видеоинтервью для Tech новости за неделю:
как домашний пользователь, если вы'ве сделали обновление на Windows и устройства iOS, в таком случае я бы сказал, что вы'Снова в безопасности.
при подключении к более предприятия или более бизнес-сети, например, университет или компанию, которая имеет много точек доступа, так что много места беспроводную технологию транслируется, тогда еще может быть преимущество в оборудовании, которое они используют.
но, по вашей домашней сети, Если вы просто обновите свой Windows, или свои ноутбуки и смартфоны, то вы'вновь, уже в безопасности.
Кроме того, он позже добавлено:
большинство KRACK атаки против уязвимых клиенты могут быть предотвращены изменение маршрутизатора/точки доступа. Это может даже быть возможно через АП изменений конфигурации (без обновления). Пример Сиско обходные. Хотя это может повлиять на надежность рукопожатий В некоторых случаях (например, с медленным или ненадежным клиентам По соединений).